IT pass HikiWiki - [Exp2009]パスワードセキュリティ Diff

  • Added parts are displayed like this.
  • Deleted parts are displayed like this.

{{toc}}

((<"スケジュール表・各回資料 (4/24)"|[Exp2009]スケジュール表・各回資料#04-2F24>))へ

= パスワードが盗まれた!

クラッカーの被害に遭遇し, ネットワークが何日も使えなくなってしまう事件
は私たちの周辺でも結構頻発しています. 私たちにも馴染み深い本学の
部局, 某著名大学の関連学科など枚挙に暇がありません.

実はこれらの被害はほとんど全て, その機関の
((*『たった一人のユーザーのパスワードが盗まれてしまったこと』*))
が原因 なのです. そのために被る損失は
とても大きく, 例えば, あるネットワーク管理者は復旧作業のために泣く泣く
研究会に行く航空便をキャンセル (有料) しました. 私たちの業界では金銭的
価値のあるデータは少ないかもしれませんが, 下手をすれば長い間苦労して集
めた卒業 (修士, 学位) 論文のデータが失われて留年を余儀なくされたり, 申
請書類が〆切に間に合わなくなり, 来年の研究費をあきらめなくてはならない
と言うことも起こりうるのです.

((*パスワードは決して他人に教えてはいけないし, すぐにばれてしまうような安易なものもつけてはいけません. *))
またときどき変えることも重要です. パスワードの管理は単に自分のアカウン
トの保護だけではなく, 他のユーザーやネットワーク管理者に迷惑をかけない
ためにも必要なのです.


= こんなパスワードが盗まれる!

例えば以下のような人物がいるとします.

  氏名:       早矢仕 将輔
  ログイン名: hoge
  住所:       神戸市灘区六甲台 1-1
  電話:       078-803-6472

このような場合に, 以下のようなパスワードは
((*絶対につけてはいけません.*))

* ログイン名, 自分の名前, 関係者の名前
  * hayashi, hoge, syousuke

* 電話番号や生年月日、住所、車種など個人情報から推測出来るもの
  * 07880364, rokkodai

* 上記から簡単に作れるもの (繰り返しや逆綴り)
  * Hayashi, SHayashi, ishayah, hayasyo
  
* 上記に数字や記号を追加しただけのもの
  * Hayashi078, hayashi3

* 上記の一部を「sを$に」「oを0に」「iを1に」「lを1に」
  などの単純な規則で変えたもの
  * Haya$h1

この他にも, 以下のものはダメです.

* 辞書にのっている単語 (英和問わず), それらの羅列
  * どんなにマニアックな単語もダメです

* 全部数字, 全部同じ文字
  * 1111111, aaaaaaaa

* 7 文字未満
  * a4#

これらはすぐバレます. 厄介なことに, 上記の情報を手がかりに自動的にパス
ワードを盗むソフトが出回っています. 上記のようなパスワードを使用してい
たために被害にあった例が実際に頻発しているのです. くれぐれも注意して下
さい.


= パスワードの付け方

パスワードの付け方のルールは次の通りです.

* 大文字, 小文字, 数字, 記号を少なくとも 8 文字以上並べる.
* 8 文字を越えて並べた場合, 先頭 8 文字が有効.

実際はさらに,
((*他人に類推されることのない (複雑で), しかしメモはしなくても自分は忘れないパスワード*))
をつけることが重要です. 以下はその一例です.

* 気に入った文章や詩などの頭文字を並べてみる。

    Boys be ambitious ! -- W. S. Clark.
    → Bba!wsc

    AkinoTano KariHonoIono TomawoArami WagaKoromodeha TuyuniNuretutu
    (秋の田の かりほの庵の 苫をあらみ 我が衣手は 露にぬれつつ)
     →atkhitawktn

* パスワードには出来る限り「大文字と小文字」「記号」「数字」を混在させる。

    tkiswktawa
    → tk1swkt121

    Bba!wsc
    → B6a!*wsc


= 同じパスワードをつけてはいけない!

1 人で複数のパスワードを保有する場合は珍しくありません.

例えば, 専攻ネットワークサーバーの利用者は, 少なくとも 2 つパスワードを
設定します. それはメールサーバーおよび Web サーバーへのログイン用のパ
スワードです. また, アカウントとは別に, ホームページ用とメール読み出し
用のパスワードも多くの利用者に必要となります.

このような, 2 つ以上のパスワードは,
((*必ずそれぞれ異なるように設定しなくてはいけません. *))
これは, 不幸にも何かの拍子にパスワードの 1 つが盗ま
れた際, 被害の拡散を食い止めるためです.


= 初期パスワードは必ず変更

アカウントを貰った時, システムによっては, 管理者から最初に利用する際の
パスワードを指定されることがあります (「最初はこのパスワードを使ってね」
てな具合). こうしたパスワードを初期パスワードと呼んでいますが, これは
最初のログインをしたら必ず変更しなければなりません. 初期パスワードは他
人の目に触れやすいからです.


= パスワードにまつわるマナー

* 人が入力しているところは見ない.
* アカウントの貸し借りはしない.
* パスワードは決して他人に教えてはいけない.
* できるだけ頭にしまっておく.
* メモするなら無くさない見せない捨てない.
* 他のアカウントのパスワードと同じものにしてはいけない.
* 初期に設定されている場合は最初のログイン時にかならず変える.
* ときどき変更する.


= ログイン用パスワードの変更法

ログイン用パスワードを変更するには, passwd コマンドを用います.

  $ passwd

passwd と入力し Enter キーを押すと, 次のように表示されます. 下の例は
adon さんがパスワードを変更していると仮定しています.

  $ passwd
  Changing password for adon   > ユーザー"adon" のパスワードを変更します.
  (current) UNIX password:     > ユーザー"adon" の (現在の) パスワードは?

今使っているパスワードを尋ねてくるので, 入力し, Enter を押します. この
時, 画面には何も表示されません.

  $ passwd
  Changing password for adon
  (current) UNIX password:     < 今使っているパスワードを入力します.
  Enter new UNIX password:     > ユーザー"adon" の新しいパスワードは?

今度は新しく設定するパスワードを尋ねてくるので, 入力し, Enter を押しま
す. 続いて確認のために再度入力するようにと表示が出るので, 新しく設定す
るパスワードをもう一度おなじように入力し, Enter を押します. この時も,
画面には何も表示されません.

  $ passwd
  Changing password for adon
  (current) UNIX password:              < 新しく設定するパスワードを入力します.
  Enter new UNIX password:              < 確認のため, もう一度同じものを入力します.
  Retype new UNIX password:             > パスワードは正常に更新されました.
  passwd: password updated successfully

問題がなければ, これでパスワードの変更作業は終わりです.


= 参考資料

このページは以下の資料を基に作成しました.

* ((<"北海道大学 理学院 情報実験 (INEX)"|URL:http://www.ep.sci.hokudai.ac.jp/~inex>))
  :
  ((<"パスワードセキュリティ (2007 年度資料)"|URL:http://www.ep.sci.hokudai.ac.jp/~inex/y2007/1012/1013.3.html>))

* ((<EPNetFaN|URL:http://www.ep.sci.hokudai.ac.jp/~epnetfan>)) :
  ((<"最低限セキュリティパスワードの正しい付け方 (1999年10月29日座学編)"|URL:http://www.ep.sci.hokudai.ac.jp/~epnetfan/zagaku/1999/1029/pass.html>))



((<"スケジュール表・各回資料 (4/24)"|[Exp2009]スケジュール表・各回資料#04-2F24>))へ