インターネットを安全に利用する仕組みのひとつにパスワードがあります。このWeblogを見ている人であれば、パスワードの使い方は既に知っていると思われます。パスワードは、情報セキュリティなどでは、”利用者の知識による認証”なんて言い方をします。今回は、どうすればパスワードを鍛えられるか?について記録します。あらゆる情報がインターネット上に集中している今、考えてみてください。パスワードがあれば、誰でもあなたになれてしまうということを。
パスワードとは?
⇒利用者本人か否かを確認するための仕組みです。
なぜパスワードを鍛える必要があるのか?
⇒パスワードが弱いと、破られてしまうかもしれないからです。
パスワードが破られたらどうなる?
⇒あなたのインターネット上での財産を失いかねません!
さぁ、鍛えるしかない!
話の前に、あなたのパスワードの強度をチェック!
パスワードの強度をチェックする
表示される数値は、あなたのパスワードをクラッカーが破るまでにかかる時間です。嘘のようですがホントの話です。また、"Common Password"と表示されてしまった方。それは皆んながパスワードとして良く使っている文字列であることを意味します。それは安全性が極めて低いパスワードであることを意味します。この記録を読んで、パスワードをより強力なものに変更しましょう。
パスワードの強度をチェックする
表示される数値は、あなたのパスワードをクラッカーが破るまでにかかる時間です。嘘のようですがホントの話です。また、"Common Password"と表示されてしまった方。それは皆んながパスワードとして良く使っている文字列であることを意味します。それは安全性が極めて低いパスワードであることを意味します。この記録を読んで、パスワードをより強力なものに変更しましょう。
まずはパスワードが如何にして破られてしまうのか?について説明します。パスワードを破る方法には主に次の2つがあります。
ブルートフォース
これは総当たり攻撃とも呼ばれます。文字通り、数字・英字・記号の組み合わせを順番に変えて行き、正しいパスワードを見つけ出す方法です。この方法を用いると、時間さえ許せば大抵のパスワードを知ることができてしまいます。この攻撃への対策として、パスワード欄への入力回数に制限を与える(サーバの問い合わせに対するクライアントからの返答回数に制限を与える)方法があります。また手近な方法として、パスワードの文字数を増やすことである程度抵抗できます。
辞書
さて、上で紹介した攻撃に対する対処法。それこそが、パスワードを鍛える方法です。SymantecのWWWサーバーに、こんな記述を発見しました。リンクをクリックして確認する。
疑問 と 愚痴
大文字と小文字を混ぜるのはなぜか?
"そんな細かいこと、私覚えられませんて"
なぜ数字やアルファベットだけでなく記号も入れる必要があるのでしょうか?
"数字やアルファベットを使うのに、まだ飽きてませんよ"
なぜ8文字以上も設定しなければならないのでしょうか?
"私、もの覚え良くありませんから"
自分の持っている数々のパスワードすべてに、Symantecの言う"強力なパスワードの特性"を持たせようと思っても、なにより面倒なので疑問や愚痴を持ちたくなります。しかし、それこそがパスワードを鍛える最も効果的かつ具体的な方法なのです。
この変更だけで、インターネットをより安全に、そして安心して利用できるようになるのです。そう思えばヤル気が出るでしょう!…なんて強制しても、疑問が引っかかって気が進まないでしょう。では今から、その疑問をスッキリさせましょうか。
突然ですが問題です。今あなたは、パスワードを設定しようとしています。パスワードに用いることのできる文字の種類は数字だけです。数字は0〜9までの10種類あります。ここで、パスワードは必ず4文字設定しなければいけません。この時、パスワードになりうる組み合わせは何通りあるでしょう?
使える文字の種類が10。
設定する文字数が4なので、
答えは…
では使える文字の種類にアルファベット(大文字と小文字を区別)も加わったら、何通りの組み合わせがあるでしょう?
使える文字の種類は、数字10種+アルファベット26種*2=全62種。
設定できる文字数が4。
答えは…
組み合わせが一気に増えましたね。この組み合わせ、数が増えれば増えるほどブルートフォース攻撃に強くなります。なぜならブルートフォースは組み合わせを順番に試して正解のパスワードを見つけるからです。試すべき組み合わせが増えれば増えるほど解析に時間がかかりますし、処理も大変になってくるのです。これが、アルファベットの大文字小文字を組み合わせて利用したほうが良い理由なのです。
では更に記号も混ぜて使えるようにしてみましょう。ASCIIの印字可能文字:ASCII printable charactersを参照(空白文字SPを除いた)すべてを使用できるとすると、
使える文字数は94文字。
設定する文字数は4。
答えは…
文字数が増えるのでブルートフォース攻撃に強くなるだけでなく、一般の辞書に載ることのない記号を使うことで辞書攻撃にも強くなります。しかし、これだけではまだまだ不十分です。なぜか?かの有名なSNS、"Facebook"のユーザー登録者数は8億人と言われています。8億人のユーザーに対して8000万通り程度しか準備できないようなパスワードでは不十分でしょう。
では、設定する文字数を増やしてみましょう。例えば、そう8文字とか。
94種類の文字を使って、
8桁のパスワードを作るなら、
その組み合わせの総数は…
どうでしょう?記号を使う意味。8文字以上利用したほうが良い理由。Symantecの言っていた、強力なパスワードの特性のそれぞれの意味。その最低条件を満たすだけでも恐ろしく強力なパスワードが作れます。強力なパスワードに守られていれば、クラウドデータたちも安心してどこか遠くのサーバーのディスク上に居られることでしょう。
疑問も解けた!パスワードを鍛える意味も分かった!!でも、そんなにパスワードを覚えられる自信がないよ!!!という方へ送るソフトがこちら。こちらはパスワードを一括管理できるソフト。これはパスワードをソフト上、つまりローカルディスク上に保存して管理するものなので安全です。このソフトを起動させるためのパスワードを1つ、たった1つ覚えるだけであらゆるパスワードを管理できるようになるのです。
でも、ローカルディスクがクラッキングされたらどうするんだ?!とか思ってる方。そこまでの技術を持つクラッカーは、あなたのような個人よりも、企業や国に対して攻撃をしたいと思うでしょう。
参考資料:良く使われている危険なパスワードTOP500
あなたのパスワードがTOP500に入っていたなら、今すぐにパスワード管理ソフトをダウンロード&インストールして、あなたの使っているパスワードを片っ端から強力なものへと変更してゆくべきでしょう。
では、快適なインターネットライフとともにあらんことを。
インターネットは公の場です。この公の場にサービスと言う名の個室を設ける必要があったとき、個室を提供する側はその個室を利用する人を見分け、その人が利用して良い場所まで誘導する必要があります。この利用者を見分ける方法を具現化したものがIDとパスワードです。IDとは、個人を識別するためのものであり、パスワードとともに使用することで初めて意味をなします。IDには対応したパスワードが必ず1つあり、それは利用者が事前に決定しておく必要があります。
今、利用者がサービスを利用しようとしています。この時点でこの人はまだサービスを利用していないので、サービス利用希望者と呼ぶことにします。サービスを提供する側は、サービスを提供する前に利用希望者にIDとパスワードを問い合わせます。利用希望者から返されたIDとパスワードが事前に対応付されたものと一致したとき、利用者本人であると認められここで利用者となります。サービスを利用できるようになります。
この変更だけで、インターネットをより安全に、そして安心して利用できるようになるのです。そう思えばヤル気が出るでしょう!…なんて強制しても、疑問が引っかかって気が進まないでしょう。では今から、その疑問をスッキリさせましょうか。
使える文字の種類が10。
設定する文字数が4なので、
答えは…
10^4 (10の4乗)=10,000通り。
使える文字の種類は、数字10種+アルファベット26種*2=全62種。
設定できる文字数が4。
答えは…
62^4=16,777,216通り(1677万7216通り)。
組み合わせが一気に増えましたね。この組み合わせ、数が増えれば増えるほどブルートフォース攻撃に強くなります。なぜならブルートフォースは組み合わせを順番に試して正解のパスワードを見つけるからです。試すべき組み合わせが増えれば増えるほど解析に時間がかかりますし、処理も大変になってくるのです。これが、アルファベットの大文字小文字を組み合わせて利用したほうが良い理由なのです。
使える文字数は94文字。
設定する文字数は4。
答えは…
94^4=78,074,896通り(7807万4896通り)。
文字数が増えるのでブルートフォース攻撃に強くなるだけでなく、一般の辞書に載ることのない記号を使うことで辞書攻撃にも強くなります。しかし、これだけではまだまだ不十分です。なぜか?かの有名なSNS、"Facebook"のユーザー登録者数は8億人と言われています。8億人のユーザーに対して8000万通り程度しか準備できないようなパスワードでは不十分でしょう。
94種類の文字を使って、
8桁のパスワードを作るなら、
その組み合わせの総数は…
94^8=6,095,689,385,410,816通り(6095兆6893億8541万816通り)。
どうでしょう?記号を使う意味。8文字以上利用したほうが良い理由。Symantecの言っていた、強力なパスワードの特性のそれぞれの意味。その最低条件を満たすだけでも恐ろしく強力なパスワードが作れます。強力なパスワードに守られていれば、クラウドデータたちも安心してどこか遠くのサーバーのディスク上に居られることでしょう。
でも、ローカルディスクがクラッキングされたらどうするんだ?!とか思ってる方。そこまでの技術を持つクラッカーは、あなたのような個人よりも、企業や国に対して攻撃をしたいと思うでしょう。
参考資料:良く使われている危険なパスワードTOP500
あなたのパスワードがTOP500に入っていたなら、今すぐにパスワード管理ソフトをダウンロード&インストールして、あなたの使っているパスワードを片っ端から強力なものへと変更してゆくべきでしょう。
では、快適なインターネットライフとともにあらんことを。
ふろく:初期の記録(キャッシュ)
インターネットは公の場です。この公の場にサービスと言う名の個室を設ける必要があったとき、個室を提供する側はその個室を利用する人を見分け、その人が利用して良い場所まで誘導する必要があります。この利用者を見分ける方法を具現化したものがIDとパスワードです。IDとは、個人を識別するためのものであり、パスワードとともに使用することで初めて意味をなします。IDには対応したパスワードが必ず1つあり、それは利用者が事前に決定しておく必要があります。
今、利用者がサービスを利用しようとしています。この時点でこの人はまだサービスを利用していないので、サービス利用希望者と呼ぶことにします。サービスを提供する側は、サービスを提供する前に利用希望者にIDとパスワードを問い合わせます。利用希望者から返されたIDとパスワードが事前に対応付されたものと一致したとき、利用者本人であると認められここで利用者となります。サービスを利用できるようになります。
ここで気づいてほしいポイントが1つあります。パスワードを利用する上で重要な”前提”が隠れているのです。パスワードは利用者本人しか知らない。この前提なしでは、IDもパスワードも全く無意味と化します。というのも現実的に、利用者本人でなくともその人のIDのパスワードを知る方法があるのです。パスワードクラックです。パスワードクラックには、主に次の2種類があります………
7127361000570698265
https://www.storange.jp/2012/06/blog-post.html
https://www.storange.jp/2012/06/blog-post.html
パスワードを鍛える!
2012-06-04T00:25:00+09:00
https://www.storange.jp/2012/06/blog-post.html
Hideyuki Tabata
Hideyuki Tabata
200
200
72
72