ユーチューブとタミヤの情報

パスワードとは？

この項目ではセキュリティのためのパスワードについて記述しています。コンピュータゲームにおけるパスワードについてはパスワード (コンピュータゲーム)を、講談社青い鳥文庫から出ているパスワードシリーズについてはパソコン通信探偵団事件ノートをご覧ください。 パスワード(Password)とは、一般的に合い言葉を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す。多くの場合、その利用者が本人であることを確認するもので、その利用者のみが知る文字列を用いる。 通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。 パスワードのうちで、数字のみで構成される文字列を暗証番号（あんしょうばんごう、PIN、personal identification number）という。金融機関のATMや携帯電話の本人確認で利用される。 文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。 多くのシステムでは、パスワードに用いることのできる文字はアルファベット（ラテン文字）26文字か52文字（大文字・小文字が区別される場合）、アラビア数字10文字、「+-/!"#|_」などの記号に限定されているが、マルチバイト文字を用いることができるものもある。 パスワードやクレジットカードの番号を入手することで、他人になりすましてさまざまな利益が得られることから、パスワードを発見するということがしばしば行われてきた。理論上は総当りですべての文字列を試してみればいつかは正しいパスワードを発見可能なことは容易にわかるが、大変な労力が必要なので実際はあまり行われない。 また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある。（金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう） パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。（辞書攻撃の項を参照されたし） 銀行のキャッシュカードに設定されている暗証番号については生年月日、自動車のナンバー・電話番号や「1111」「1234」のような覚えやすい番号（いわゆるキリ番）が設定されている場合が多いが、近年発生しているキャッシュカード窃盗やスキミング等の事件に於いては、日本ではじつに57％の例で生年月日を入力されて預金を引き出されている（金融庁調査による）。このような事例では、これらの犯罪被害者に行われていた被害補償に於いて、預金者自身にも過失があるものとみなし、全く補償されないか、補償が半分以上も減ぜられることもある。（金融庁中間報告） キャッシュカードや携帯電話端末の暗証番号はわずか4桁だけしかない場合が多く、0000〜9999の、せいぜい10000回試せば暗証番号を発見できることから、番号を忘れてしまった場合に全部の番号を試すソフトウェアが存在する。（総当たり攻撃の項を参照されたし） 誰でも思いつくような覚えやすい文字列の文字列でパスワードを設定することは避けるようにすべきだというのが、セキュリティ専門筋の共通見解であるが、パスワードをランダムな文字列の羅列にし、かつ文字数を多くするあまり、中には自分自身でも覚えられないパスワードを設定する人も見られ、本末転倒な事態に陥るケースも見られる。他方では、その余りにも覚え難いパスワードをメモに記録して携帯または保管する向きもあるが、ソーシャル・エンジニアリングによってパスワードを盗まれる事態も発生しているだけに、注意が必要である。 定期的にパスワードを変更する事で、たとえ盗難にあってもすぐに無効化できるため、任意のパスワードを設定できる所では、定期的なパスワード変更が推奨されている。近年では現金自動預け払い機においても、その場の機械操作だけで暗証番号が変更できるものが見られる。ただし、この場合変更前のパスワードを覚えていないと変更することができない。

[ 75] パスワード - Wikipedia
[引用サイト]　 http://ja.wikipedia.org/wiki/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89

●パスワード・クラックとは，パスワードを見破ることを指す。例えばZIPファイルにかけられたパスワードを破る場合，一般的なパソコン（2.4GHz動作のPentium4上でWindowsXP稼働）で1秒間に180万通り程度のパスワード文字列を検査できる。この環境下だと，8桁の数字だけのパスワードを総当りで調べるのに1分程度しかかからない ●レインボー攻撃とは，ハッシュ化されたパスワードを解析する手法のこと。あらかじめ計算済みのハッシュ値のテーブル（レインボー・テーブル）を基にパスワードを解析する パスワード・クラックとは，パスワードを見破ることを指します。パスワードを設定する時や管理する際の注意点に関しては，この連載の中でも既に扱いました（（利用者編），（管理者編））。今回は，攻撃者の視点，すなわち情報収集の手法の一つとしてパスワードを解析する手口や用語を勉強します。 はじめに，オンライン攻撃とオフライン攻撃という用語を確認しておきましょう。オンライン攻撃とは，実際に動作しているサーバーにIDとパスワードを送って認証に成功するかどうかを調べる手法です。また，サーバー以外でも動作中のサービスに認証情報を送って調査する手法は，オンライン攻撃にあたります。 これに対してオフライン攻撃は，パスワード・ファイル，あるいはパスワードがかけられているファイルを入手して，攻撃者のコンピュータにそのファイルを移してパスワード破りを試みる手法のことです。 「パスワード破り」で誰もが思いつくのが，使われる文字の組み合わせを片っ端から順番に試してみるやり方です。この方法はブルートフォース・アタック（総当り攻撃）と呼ばれます。ただし，ブルートフォース・アタックは，パスワードの文字列が長かったり，文字種が多かったりすると，総当たりするのに時間がかかってしまいます。そこで，ユーザーがパスワードとして登録しがちな文字列をあらかじめ辞書ファイルに登録しておき，それを順次試していくやり方があります。こちらは辞書攻撃と呼ばれます。 ファイルをZIP形式に圧縮する際にパスワードをかけることができます。このときに設定したパスワードを忘れてしまった時に解読を試みるPika Zipというフリーソフトがあります※1。このツールは図1のように解読のための方法を細かく指定できるようになっています。これを筆者のパソコン上で動かして擬似的にパスワード破り（ブルートフォース・アタック：総当り攻撃）を試してみました。 実験で用いたパスワードは，数字だけの8桁で構成したパスワード「12345678」（1）と，数字4桁と英小文字4桁を組み合わせた「abcd1234」（2）です。筆者のパソコンは少し型遅れ（2.4GHz動作のPentium4マシンでWindowsXPが稼働）ですが，誰でも入手できる一般的な機材というイメージでみてください。 このPC上でツールを動作させた場合，1秒間に160万〜180万通りの攻撃を試みることができました。これに桁数と文字種の数を勘案して解読に要する時間を見積ると次のようになります。 （1）の場合，00000000〜99999999までの1億通り（0〜9まで10種類の文字の8乗通り）ありますので，1秒当たり180万アタックできると仮定して計算すると，全通り検索したとしても55秒程度で解読できるはずです。 （2）の場合は，00000000〜zzzzzzzzまでの2兆8211億990万7456通り（36種類の文字の8乗通り）ありますので，1秒当たり180万アタックで計算すると約435時間で解読できるはずです。 （1）の方ですが，あらかじめ数字8桁とわかっていますので，数字のみ・全通り検索でスタートしたところ，13秒で解読が終了しました（図2）。 続いて（2）の結果を見てみましょう。こちらは英小文字と数字・全通り検索で実施したところ，19時間弱かかりました（図3）。 どちらも予想よりも大幅に短い時間で解析が終了しています。これは，数字のみの場合は0から9，英小文字・数字の場合はaからz，0から9という順番でアタックしていったため，最後の方まで試さなくても正しいパスワードが見つかったからです。 ここで一つ確認しておきたい点があります。それは，「ブルートフォース・アタックで解読を試みる場合，パスワードがどんな文字種を利用しているかがわかると，解読が容易になる（＝検索数が減る）」という点です。 もちろん，わざわざツールを使って演算しなくても，机上の計算（見積もり）でわかり切っていることですが，攻撃者の立場になって考えてみると実感できるでしょう。具体的には，今回のケース（1）が10数秒で解読できたのは，「パスワードが数字だけで構成されている」ということを知っていて，効率のよい検索方法，つまり数字のみの10種類の文字で攻撃できたからです。「英小文字も交じっているかもしれない」と考えたら，攻撃者は数字＋英小文字の36種類の文字を使って攻撃しなければならないため，全く同じ数字のみのパスワードでも（同じツール・同じ解読アルゴリズムを利用した場合）解読までに10数時間かかることになります。 NTTコミュニケーションズ OCNインフォメーションデスク SIPとIPv6で作るオンデマンドのVPN マルチポリシーVPN for OCN ITpro協力誌 日経コンピュータ 日経コミュニケーション 日経SYSTEMS 日経情報ストラテジー 日経NETWORK 日経ソリューションビジネス 日経ソフトウエア 日経Linux 日経ニューメディア 日経BPガバメントテクノロジー 日経パソコン 日経BPソフトプレス IT経営 システム開発 プロマネ＆アーキテクト ネットワーク最新テクノロジー 業績＆業界動向 セキュリティ Windows オープンソース 製品＆サービス・ディレクトリ 業務アプリケーション 設計開発 OS/DB/ミドルウエア サーバー/ストレージ 運用管理 ネットワーク セキュリティ SIサービス 通信サービス クライアント/OA機器

[ 76] パスワード・クラック：ITpro
[引用サイト]　 http://itpro.nikkeibp.co.jp/article/COLUMN/20061128/255161/

律子さんの会社では、基本的に1人1台マシンが支給されているのですが、プロジェクトの都合やリース期間切れなどで、意外と頻繁にマシンの変更が行われます。 そんなこともあってデータの移動は手慣れたものですが、つい忘れてしまうものがあります。パスワードです。 特にメールのパスワードなんかは最初に管理者に渡されたものを設定して（設定さえ管理者に任せっ切りの人もいますが）、それをアプリケーションに記憶させている人がたくさんいます。もちろんそういう人はマシンを移動するときにはパスワードは頭の中からすっかり抜け落ちているのです。一度しか打ち込んでいないので仕方ありませんが、そういう人に限って、なぜか渡されたパスワードが書かれた紙を紛失しています。発行したパスワードですが、管理者は発行後に廃棄して、基本的に本人しか知らないようにしているので、毎回再発行するしかありません。 また、律子さんの管理するネットワークでは、ユーザー自身のパスワードは自分で変更することができるようになっています。ユーザーが自分でパスワードを変更してしまった後では律子さんはまったくどうすることもできません。 しかも、プライベートのメールアドレスのパスワードが分からない……、なんてことをいってくる人もいます。そんなもの律子さんにも分かるはずがありません。 ただでさえ忙しいのに、このような人たちをいちいち相手にしているので、律子さんは家に帰るのがどんどん遅くなっていきます。忙しさがピークになるに従って、律子さんの声もだんだん殺気立ってきます。 博君：「あの……、正確にいうと、OutlookExpressのパスワードに掛かっている******に隠れてるパスワードを教えてほしいのですが……」 あ、それならパスワードはネットワークに流れるから、メールの受信をキャプチャしたら分かるじゃない、ということで、パケットキャプチャをインストールして、パスワードを見て解決です。とはいえ毎回やるのはどうにも大掛かりで面倒です。これならパスワードを再発行した方が手間が掛からないような気もします。 律子さんはこのようなネットワーク便利屋稼業の積み重ねでいいかげん疲れてきました。もしかするとパスワードの再設定に追われて過労死してしまうのかも。律子さんはそんな怖い考えが頭の中をぐるぐると回りはじめてきました。それと同時に意識も飛んでいきます。 しばらくして目を覚ました律子さんは、無意識のうちにNirsoftのページを開いていました。おお、もしかしたらここに私を助けてくれるツールがあるのかもしれない。 律子さんがサイト内をいろいろ見ていると、Protected Storage PassViewというツールがありました。これを使えばパスワードが取り出せると遠くから声が聞こえてきたような気がしますので、早速使ってみることにします。 社内のPCが突然、メールを受信できなくなり、Webも見られない環境になってしまった。そんなとき、どのように対処するべきか 5分で絶対に分かるSIP （2007/11/16）インターネットで電話をかけるためには、発信や着信、応答、切断といった制御が必要です。その手順を取り決めたシグナリングプロトコルの1つ、SIPを5分で理解しましょう 携帯メールポータビリティは開国を迫る黒船となるか （2007/10/31） 丹後から日本のケータイにもの申す。TANGOメールは携帯電話ネットワークのオープン化への第一歩となるか？ 「はてな」を作り出す人的ネットワークの仕組みとは （2007/8/24） 次々とWeb2.0的サービスをリリースするはてな。拡大する組織の中で行われているコミュニケーションのかたちとは？ ＠IT ネットワーク用語辞典 （2007/8/22）ネットワーク管理者のための用語集です。「LAN」や「IPアドレス」といった基本中の基本から、「HTTP」などのプロトコル、「ping」などのコマンドまで、幅広く解説します ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント！――TechTargetジャパン リニューアル・キャンペーン

[ 77] 俺の「パスワード：*****」って何でしたっけ？ − ＠IT
[引用サイト]　 http://www.atmarkit.co.jp/fnetwork/rensai/netool05/asterisklogger01.html