β版
目次 | <<前へ| 次へ>>
| 2002年11月07日(木) | 「セキュア・トークン」とパスワード・ハック |
会社から「セキュア・トークン」とかいうデバイス配布された。
直径3cmくらいで数字が表示される小さな液晶ディスプレイがついている。
100円ショップで売っている中国製のデジタル時計みたいなデバイスだ。
これからはこのデバイスを常に携帯しなければならない。
セキュア・トークンというくらいなのでこれはセキュリティーグッズなのである。
会社のシステムにアクセスするにはこのデバイスが必要なのだ。
セキュア・トークンの液晶には6桁の数字が1分おきにランダムに表示される。
これが会社のシステムにアクセスする際のパスワードなのである。
システムのセキュリティー強度を上げるために、固定的ではなく1分おきにパスワードが変更されるシステムになってしまったのだ。
実際にはこの液晶に表示される6桁の数字と自分の固有のパスワードの両方を組み合わせて使用することで更にセキュリティー強度を上げるようになっている。
実は「固定的な」パスワードなんて破る気になれば誰にでも破れる。
別にハッキングのスキルなんて全く必要とはしない。
特別なツールも必要ない。
「固定的な」パスワードはセキュリティーレベルからいうと非常に弱いのである。
仮にパスワードが英数記号8文字だったとしよう。
英数記号8文字だとパスワードとしては最もきちんとしている部類に入る。
英数記号は8ビットである。
8ビットは2の8乗なので256文字。
パスワードが8文字だったらその更に8乗。
256の8乗なので「18,446,744,073,709,600,000」
18,446,744,073,709,600,000通りのパスワードパターンが考えられる。
ぱっと見た感じではすごい数のパターンが存在するように見える。
しかし、この程度のパスワードを破ることはそんなに難しいことではない。
当たり前のことだけどパスワードハッキングはコンピュータを使って解析を行う。
一般的には「ジョン・ザ・リッパー」を使用する。
「ジョン・ザ・リッパー」とはパスワードの総当りツール。
「ジョン・ザ・リッパー」を使ってパスワードがヒットするまで延々と全ての英数記号を総当りすれば、いつかはパスワードがヒットする。
更に解析の時間を短縮したければ、辞書ファイルを使う。
パスワードはランダム数字や記号ではなく、何らかの言葉を使っているケースが多いので、辞書を使って意味のある言葉や人名、地名を優先して当たるようにする。
そうすれば、ヒット率は更に向上する。
そもそもそんな事をしなくても、多くの人はブラウザのパスワードをいちいち入力するのは面倒なので「パスワードを記憶する」のチェックボックスにチェックをしているだろう。
この場合、その人のPCを使えばシステムにアクセスも可能だし、パスワードを頂いてしまうこともできる。
通常「********」と表示されるパスワードを見えるようにしてしてしまえば良い。
そういった場合のツールは「ぱすみえ」。
「ぱすみえ」とは「********」のようにアスタリスクで見えなくなっているパスワードを通常の英数記号として見えるようにするツールである。
「ぱすみえ」を使えば、その名の通りパスワードは丸見えになる。
もっと無用心な人であればパスワードをポストイットでPCに貼っていたりするかもしれない。
「固定的なパスワード」が存在する限り、完璧なセキュリティーなどあり得ないのである。
暗号も同様で破れない暗号などこの世に存在しない。
強度の高い暗号とは桁数が多くて、単に解読に時間がかかるというだけの話なのだ。
このような「固定的なパスワード」に対抗するためには「固定的でないパスワード」を使用する必要がある。
1分おきにパスワードがランダムに変われば、パスワード解読は1分以内に完了しなければならなくなる。
今のPCの能力ではツールを使っても1分以内にパスワードを解読するのは不可能。
現実には数時間程度はかかる。
将来的にPCの能力が上がればハックされる運命ではあるけれど。
セキュアトークンを常に携帯するのは面倒だけど、セキュリティーを守るためには、今のところかなり強力なツールなのである。
普通に考えればここまでしなくても・・・と考えがちなのだけれど、コンサルティング会社は、とんでもなく重要な機密書類に常に接する立場にあるので、このくらいは当然必要なのだ。
注;ここで紹介したツールに興味があればGoogleで検索してみてください。簡単に手に入ります。使用に関しては自分のリスクでご勝手に。
目次 | <<前へ| 次へ>>
リンク、引用はご自由にどうぞ。@your own risk
当サイトの内容は筆者が勤務している企業の見解とは無関係です。