Berry in Lake ライトノベル含む読書感想など

ライトノベル含む読書やマンガの感想・レビューもどきなど

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

≪ 近況 | 適当に ≫

セキュリティのお話

 よく使われるパスワード(アルファルファモザイク)

米国で最も多いパスワードは「1234」と「パスワード」

 【2月12日 AFP】Eメールやオンラインバンキング、航空券購入などでパスワードを選ぶ際には、もう一度よく考えたほうがいい・・・想像力がまったくなかったり、他人との違いがないパスワードは、簡単に個人情報泥棒の餌食になるという研究結果が明らかにされた。

 米国のある人気ウェブサイトから最近盗まれ、インターネット上で暴露されたパスワード2万8000個の分析をした調査が今週、IT技術情報の専門週刊誌、米「インフォメーション・ウィーク(Information Week)」に掲載された。この結果から明かるみになったのは、多くの人が簡単すぎるパスワードを使っているということだ。 ©AFP

 パスワードのクラックといえば最近はキーロガーみたいなウィルスなど直接ぶっこ抜くのが特に流行ってますが、個人がパスワード決めるときに考えておくべきなのはまずブルートフォースアタックの対策です。

 ブルートフォースアタックってのは何をするかっていうと、手当たり次第パスを試します。まず辞書攻撃ってのがあって、使用頻度の高い英単語とか、有名人の名前とか、特定の数字の組み合わせみたいなのをリスト化して最初に試します。zipに設定したパスワードをクラックするといった状況などでは、普通にその辺で売ってるPCとかのパワーでも秒間数百万パターンのアタックができますので、英単語1単語とかの場合あっちゅうまに当てられます。

 そして辞書攻撃がだめなら、片っ端からありとあらゆる文字の組み合わせを試します。効率は悪いですが、銀行みたいに試行回数に制限がある場合以外は「いつか当たる」方法です。8文字のパスワードで英小文字と数字の組み合わせの場合、市販のPCで数百時間ってとこですかね。

 この場合、文字種が限られている、文字数がわかっている、あるいは短いなどといった場合クラックが容易になります。もちろん試すパターン数が少なくて済むため。いくらランダムでも数字だけのパスワードなんか論外ですね。1分かからんです。パスワードに英数字を混ぜろとか、大文字と小文字を混ぜろとか言うのはこのためです。

 まあ総当たりかけられると「いつか絶対あたる」ので、ほんとに漏れたらまずいパスワードの場合、最終的な対策はシステムを巻き込んで常にパスワードを変え続けることしかないと思います。そのへんは専門の方とか暇な方が徹底的に考察してると思います。で、個人がウェブサービスなんかで使うパスにそこまでするのはやりすぎなんで、個人で使って比較的クラックされにくく、かつ忘れにくくて使いやすいパスワードを考えてみる。

 ブルートフォースアタックに強いパスワードってのはどういうのかっていうと、前提としてランダムな文字列であることです。ランダム性がないものは辞書攻撃の餌食なので。それから長いこと。短ければ短いほど弱い。

 そして、よく言われるのは数字だけ、英小文字だけ、みたいな文字種の制限をするとパターンが減るのでよくないということ。厳密には「英大小文字と数字と特定の記号を必ず1つ以上入れる」みたいにすると逆に無制限よりもパターンが制約されるという議論もあるのですが、とりあえず考えないことにします。

 完全にランダムで、短くなくて、いろんな種類の文字を入れると、まず語呂合わせでもしない限り忘れます。無意味綴りの記憶実験ってのがあって、ランダムな文字列の場合だいたい8文字超えるとぱっと覚えるのは無理です。アマゾンみたいな金が絡むサイトはこうしてちゃんと覚えたほうがいいかもしれんけど。

 で。たぶんパス生成でもっとも一般的なのは、自分だけがわかるアルゴリズムを用意してパスワードを生成するというもの。学校でも確かこんなん教えてた気がするな。とりあえず自分が好きなフレーズなど忘れないものを使って作ってみる。

例。好きな言葉を使う。
Wer warten kann, hat viel getan.
 →イニシャルをとる:wwkhvg
 →二音節以上の単語を大文字にする:wWkhvG
 →適当に数字を足す:wWkhvG86

例2。一条さん(15)は俺の嫁。
 →Ichijo-san, who is 15 years old, is my wife.
 →イニシャルと数字をとる:iwi15yoimw
 →ある法則に従って大小文字を割る:iwI15yoIMw

 ほい。ランダムっぽい文字数列ができました。自分のプロフィールを英文にするとかして生成すれば忘れない上に特殊なものができます。

 この場合重要なのはアルゴリズムを人に知られないようにすることですね。なんだかんだ法則がある以上擬似的なランダムでしかないし。また「必ず大文字や数字を使う」という制約がパターンを激減させるのであんまりよくねーですね。もっと自動的に決まるといいんですが。まあ少なくとも忘れないということと、辞書攻撃に対して強いです。

 私が心の底から感心したのは、パスワード+ランダムパスフレーズという組み合わせにすること。たとえば、覚えやすい8文字以上のパスワードと別に、パスフレーズを英大小文字、数字、記号からランダムに4桁選出して組み合わせる。辞書攻撃は通じないし、総当たりで両方一致させるためには最低12桁ありますのでブルートフォースアタックに強いパスワードができます。ランダム4桁+1単語なら覚えやすい。同時に入力させるシステムで最も力を発揮しますが、単純にくっつけるだけでも強固なんじゃないカナこれ。

 もっとも、まずないと思いますがこいつ専用の辞書が出てくるとつぶされるんですけど(辞書リストにランダム文字列を加えて総当たりさせる攻撃など)。まあこれもアルゴリズムが漏れると意味ないって例でもありますね。

 パスワード生成の難しいところは、文字数が多ければ多いほど強固であることと、ランダム性を保ちつつ文字数が増えると覚えにくいことが相反する点です。あとすっかり忘れてた大事なことですが、あっちでもこっちでも同じパスワードを使うってのは危険です。まあ私も、ばれてもたいした情報漏れないようなところは似たようなの使ってますが……個人利用でもヤフオクとかアマゾンみたいな金が絡むとこは注意してね。

 あー長くなった。パスワードの話でした。

≪ 近況 | 適当に ≫

コメント

面倒くさいので今までかなりいい加減なパスワード管理をしていました
何か起こってからでは遅い
今回の記事を参考にしてしっかり対策したいと思います
大変勉強になりました

>>a7s333jpさん

まあ見られたらまずいメールとかamazonとかくらいでいいと思いますけどね。
覚えやすくて混乱しにくいというのも重要な要素なので、面倒くさくなく対策するのが大変というかなんというか。
とりあえず参考になれば幸いです。

コメントの投稿








いちるにだけ見せる

トラックバック

http://lilli1.blog98.fc2.com/tb.php/114-eb15af7b

 | HOME | 

秋涼いちる

 ライトノベルから漫画から、一般小説、新書、果ては辞典までおよそ本の形をしたものなら何でも読む。

→ はじめまして

→ pixiv

RSS このブログのRSSを取得する

あわせて読みたいブログパーツ

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。