EP Net Fan
1999年10月29日座学編レジュメ

最低限セキュリティ
パスワードの正しい付け方

1.パスワードが必要な理由

インターネットに接続するときには、セキュリティに気を付けなくてはならない。セキュリティ対策をおこたると、情報が洩れたり、誰かが自分たちのネットワークに勝手に入り込み悪いことをすることがあるからである。このインターネットからの不正な侵入者(クラッカー)からの攻撃に対する基本防御として、パスワードを使う。家に鍵をかけようにネットワークの鍵がパスワードなのである。

さて、実際にクラッカーの被害に遭遇し、ネットワークが何日も使えなくなってしまう事件は我々の周辺でも結構頻発している。 そしてこれらの被害はほとんどすべて、その機関の『たった一人のユーザーのパスワードが盗まれてしまったこと』が原因なのである。

■自分のパスワードが盗まれてクラッカーに侵入されてしまったら・・・■

自分が被害を受ける。
ファイルを消される
他人に困ったメールを出される。
同じシステムを使う人が被害を受ける
使用不可能な状態にされる
他の人のパスワードもばれてしまう。
ルート権限まで奪われちゃう!
ネットワーク上のほかのサイトも被害を受ける(自分を踏台にされる。)
結果的に世界中に迷惑をかける。

このように自分一人のせいで被害はとんでもなく広がってしまう。 パスワードの管理は単に自分のアカウントの保護だけではなく、 他のユーザーやネットワーク管理者に迷惑をかけないためにも必要なのだ。

2.パスワードの付け方

2.1基本

パスワードはをつけるときには大文字、小文字、数字、記号などを少なくとも６文字以上並べたものにする。但し長い場合、先頭８文字までが有効である。
また、パスワードのマナーとして以下のことに注意する。

• 人が打鍵しているところは見ない。
• アカウントの貸し借りはしない。
• パスワードは決して他人に教えてはいけない。
• パスワードは紙に書いてはいけない。
• ときどき変更する。
• 初期パスワードはログイン時にかならず変える。
• ほかのマシンのアカウントのパスワードの流用も決してやってはいけない。

2.2危険なパスワード

以下のようなパスワードは絶対につけてはいけない.

参考資料：高山歌織、ログイン名kaorun、札幌市南区澄川在住、電話011-706-3565の場合。

1. ログイン名, 自分の名前, 関係者の名前

   →kaorun,takayama

   電話番号や生年月日、住所、車種など個人情報から推測出来るもの。

   →011706-3,sumikawa

   上記から簡単に作れるもの

   →Kaorun,Ktakayama

   上記に数字や記号を追加しただけのもの

   →kaorun01,1takayama,kaoru!

   上記の一部を「sを$に」「oを0に」「iを1に」「lを1に」などの単純な規則で変えたもの。

   ex)→ka0run,$um1kawa

   人名、辞書にのっている単語 (英和問わず)、コマンド、固有名詞、それらの羅列

   →kuramoto,flower,aozora,sudo-s,salomon,canada

   上記の繰り返しや逆綴

   →nuroak,rewolf

   全部数字, 全部同じ文字

   →11111111,aaaaaaa

これらはすぐばれる。なぜなら上記の情報を手がかりに自動的にパスワードを盗むソフトが出回っているからである。 暗号化されているパスワードの解読は難しいが、疑わしいパスワードを片っ端から暗号化して一致するかどうか調べてみることは、実は簡単なのだ。

2.3安全なパスワード

■「無意味で、しかし自分は忘れないような」パスワード。

1. 関連の無い単語同士を記号でつなげるのはかなり危険だが、間に & や * などの非 ASCII 文字が入るならすこしだけましになる。

   dog & snow
   →dog%snow

   気に入った文章や詩などの頭文字を並べてみる。

   Boys be ambitious ! -- W. S. Clark.
   →Bba!wsc

   Tokaino kojimano isono shirasunani warenakinurete kanito tawamuru
   →tkiswktawa

   パスワードには出来る限り「大文字と小文字」「記号」「数字」を混在させる。

   tkiswktawa
   →tk1swkt121

   Bba!wsc
   →B6a!*wsc

3.パスワードの変更方法

プロンプト($)画面で passwd と入力する。

$ passwd
Changing password for kaorun
Old password:[今までのパスワード]
Enter the new password (minimum of 5, maximum of 8 characters)
Please use a combination of upper and lower case letters and numbers.
New password:[新しいパスワード]
Re-enter new password:[新しいパスワード]
Password changed.

[ ]の中身を適宜いれてやるとパスワードを変更することが出来る。

4.いろいろなクラッキングの手口

• パスワードクラック

  パスワードのついていないアカウント、自明なアカウントなどを探して侵入する。原始的だが簡単確実に実現できる方法である。

  タッピング

  タッピングとはLANなどで使用されているイーサネットの接続点(ハブなど)にタップして、そこを流れている通信を覗き見すること。
  このような物理的な侵入は少ないだろうが、ネットワークに接続されたホストに侵入されてroot権限を取られてしまうと、物理的にタップしたのと同じことである。

  バック・ドア

  バック・ドア(裏口)とは、通常とは異なる経路でアクセスできるようにもうけられた入口のことである。バック・ドアを経由したアクセスでは通常行われるチェックなどが省略されていたり、通常のユーザーには不可能なことが許されていたりする。
  はじめからこのてのバック・ドアが用意されていることは少ないが、一度侵入を受けると、クラッカーが仕掛けておくことがあるので注意が必要である。

  ポート・スキャン

  各種セキュリティホールが発見されたサーバ・プログラムに対応するポートを次々と調べ対応されずに残っているものを探して侵入すること。

  バッファ・オーバー・フロー

  サーバーとクライアントの間でデータを受け渡すためにバッファが使われるが、バッファは有限なので溢れる可能性がある。この対策をきちんと行っていないとバッファ溢れよりセキュリティホールが出来て侵入されることがある。

  DoS(Denial of Service)アタック

  最近はやっているらしい。ホストに侵入するのではなく、サービスを妨害するタイプのもの。

5.セキュリティを守るために

• 本日述べたような安全なパスワードを使用する。
• 通信を生でネットワークに流さない！
  →ssh,APOPなどを使って暗号化した情報、パスワードをネットワークに流す。
• OTP(使い捨てパスワード)の利用→詳しくは再来週