- Red Stone アカハック対策室 - アカウントハッキングに対する情報交換サイト |
◆パスワードについて◆ - 2009/7/23 UP より安全なパスワードの設定方法ついて、まず注意してほしいことをあげてみる。 A.パスワードをアカウントと同じにしない 推測しやすいので避ける B.パスワードにアカウントの一部を使用しない 推測しやすいので避ける C.パスワードに誕生日を使用しない やってしまいがちだが、推測しやすいので避ける D.パスワードに推測しやすい言葉の組み合わせは使用しない 例えば「田中さんのリンゴ」に関係するアカウントのパスワードに 「TanakaApple」を使用するのは避ける E.パスワードに意味のある言葉を使用しない 例えば、りんごを表す「apple」など F.パスワードには、アルファベット大文字/小文字・数字・記号を入れ混ぜて使う RedStoneだとアルファベット大文字/小文字・数字が可能 よりいろいろな文字種を使うことで推測しにくくなる G.長いパスワードにする RedStoneだと4桁〜14桁まで可能なので、できるだけ14桁にする なぜこれらの注意が必要か、パスワードがどのようにして盗まれるのかという 視点から考察する。パスワードを盗む方法は主に3つある。 ----------------------------------------- 1.推測 (「A」「B」「C」「D」で対応可能) ----------------------------------------- パスワードに誕生日や、アカウントと同じものを入力してログインしたら インできてしまったという類のもである。つまりは推測されやすい文字列を パスワードに使用するのは、絶対避けるべきである。 ----------------------------------------- 2.辞書攻撃 (「E」で対応可能) ----------------------------------------- 辞書攻撃の辞書とは、辞書(この場合、主に英語)に載っている単語を 片っ端からパスワードとして入力していき、アタリを探すというもの。 片っ端から入力していくといっても、人間が1つづつ入力するわけではなく、 それを自動で行うプログラムがあれば、1秒間に何百回・何千回とアタックできる 上記のことから、単純な英単語のみのパスワードは絶対避けるべきである。 単語を使用するなら複数の単語を組み合わせたり、固有名詞を組み入れたり、 アルファベット大文字/小文字を混在させるのがベター。 例えば「apple(りんご)」でも「TanakaApple(田中さんのリンゴ)」とすればまだマシ ただし、これが「田中さんのリンゴ」に関係するアカウントのパスワードであれば 推測しやすいパスワードになってしまうことにも注意されたい ----------------------------------------- 3.総当たり攻撃 (「F」「G」が有効) ----------------------------------------- 論理的にありえるパタンを総当たりで片っ端からパスワードとして 入力していき、アタリを探すというもの。 具体的に言うと、RedStoneではパスワードの設定制限は、 ・4文字以上14文字以内 ・使える文字は、アルファベット大文字/小文字・数字 なので、この制限内で総当り攻撃をかけようとすると、 1回目→「aaaa」 2回目→「aaab」 2回目→「aaac」 : X回目→「4b23AgzG4」 X回目→「4b23AgzG5」 X回目→「4b23AgzG6」 : と、ありとあらゆるパタンを全て入力していくもの。 こんな作業を人間が1つづつするわけではなく、 自動化されたプログラムによって実行される ログインサーバ側がアタック回数の制限(3回パスを間違えるとロックかかる、等)を かけていない限り、確実にアタリを見つけることができる方法である。 パスワードをより長くすることで、アタリを見つけるまでにより時間がかかる。 といっても、ログインサーバ側がなにかしらの対策をしていない限り、 いずれはアタリに・・・ ユーザー個人が完全に防ぐことは実質不可能である 上記のことから、より安全なパスワードにするためには、 ・ランダムな文字列にする ・使用できる文字種(アルファベット大文字/小文字、数字、記号)を全て使う ・設定できる最大桁数のパスワードにする とすればよいのではないだろうか。 また加えて、定期的にパスワードを変更することもオススメする。 |