田中先生ミスチル聞くんだ

10/14 (火)　4,5,6時限目　田中先生




　　　　　　　　　　　　　　　　　　　　　☠パスワードを盗みとる手法☠



１．ソーシャル・エンジニアリング・・・詐欺的な手法によって不正に情報を入手することである。
　　　　　　　　　　　　　　　　　　　IDやパスワードを盗みとる場合、必ずしもコンピュータの技術が　
　　　　　　　　　　　　　　　　　　　必要なわけではない。
　　　　　　　　　　　　　　　　　　　技術に頼らず、人間の心理や行動における盲点やミスを突いて
　　　　　　　　　　　　　　　　　　　不正に情報を入手する手口を『ソーシャル・エンジニアリング』と呼ぶ。

２．ショルダーハッキング・・・（yahoo!BB事件）IDやパスワードを入力している状態。
　　　　　　　　　　　　　　　肩（ショルダー）越しに覗き見ることで、IDやパスワードを入手する方法。

３．スカベンジング・・・ゴミの中からIDやパスワードのメモや、その他の情報資源を入手する方法。

４．電話によるなりすまし・・・上司やシステム管理者になりすまし電話をかけ、IDやパスワードが必要な事態が
　　　　　　　　　　　　　　　発生して、至急対応が必要だと騙してパスワードを入手する方法。
　　
　　　　　　　　　　　　　　　　　　　　　★技術的な手法で盗みとる手法★

１．キーロガー・・・通常、パスワードの入力を行っても画面上は"*"が表示されるだけで、入力された文字は
　　　　　　　　　　表示されない。
　　　　　　　　　　キーロガーは、キーをログする。キーボードからの打鍵履歴を、全て記録する仕組みを
　　　　　　　　　　コンピュータ内に組み込んで、パスワードを入手する。
　　

２．ブルートフォース攻撃・・・パスワードとして利用可能な文字の組み合わせえを、片っ端から順番に試して
　　　　　　　　　　　　　　　みることで、パスワードを得る方式。『総当り攻撃』とも言われる。

３．辞書攻撃・・・パスワードとして利用されがちな文字列を、あらかじめ辞書として登録しておき、
　　　　　　　　　辞書に登録されている文字列を順番に試して、パスワードを破る手法。


４．レインボー攻撃・・・あらゆるパスワードに対応したレインボーテーブルを用意しておき、
　　　　　　　　　　　　コンピュータ内のパスワードのハッシュ値と一致するハッシュ値を、
　　　　　　　　　　　　レインボーテーブルから探し出すことで、パスワードを盗みとる手法。




　　　　　　　　　　　　　　　　　　　　　　　　☆ハッシュ☆

・ハッシュ：与えられたデータ（ここではパスワード）に対して、演算（ハッシュ関数）を行うこと。
　　　　　　演算結果を『ハッシュ値』または単に『ハッシュ』と呼ぶ。
　
＜例＞パスワードが『１２３』、ハッシュ関数が『９で割った余りの場合　→　123÷9=13　余り　6　』
　　　　なので、この場合のハッシュ値は6となる。

・代表的なＨＡＳＨ関数：MD5 128bitのハッシュ値を作り出す。
　　　　　　　　　　　　SHA-1 160bitのハッシュ値を作り出す。
・ハッシュ関数の特徴：

①　入力された値から一定の長さの値を出力できる。

②　同じ値を入力すると常に同じ出力値が出力されるが、入力される値が一部分でも異なると出力値が大きく変化する。

③　ハッシュ値から元のデータを特定することはできない。　



★ハッシュを利用したパスワード設定★

１パスワードＡＢＣに対してハッシュ関数で演算を行い、ハッシュ値asdfgh5dfgを求める。
→パスワードを保存するデータベース
データベース保存されているハッシュ値と、入力されたパスワード


　　　　　　　　　　　　　　　　！入力してきたパスワードが正しいかどうか！

・コンピュータ内にパスワードを保存しておいてある。

・昔はパスワードの文字列そのものを保存していた。

　　　 ABC=asdfgnfg
ＰＣ　→→→　サーバー（webサイトで認証）


・レインボーテーブル・・・様々なパスワードの設定を試み、パスワード毎のハッシュ値を記したデータのこと。


　　　　　　　　　　　　　　　　　　　 ★パスワードの適切な管理★

　　　　☛パスワードを適切に設定/管理することでパスワードが漏洩する可能性を減少させることは可能である。



・周囲の状況を確認（見ている人間がいない）してからパスワードを入力する。

・パスワードのメモを他人の見えるところに置かない。

・不特定多数が利用するパソコン（インターネットカフェ等）でパスワードの
　　　　　　　　　　　　　　　　入力が必要なサイトにアクセスしない（キーロガーの可能性）

・短いパスワードを設定しない（最低8文字　可能なら５文字以上）

・パスワードには、単語や生年月日、電話番号等の登録辞書の対象になるようなものや容易に推測可能なものは利用しない。


・パスワードは数字だけ、英字だけを利用せずに、数字、英大文字、英小文字、特殊文字を混入させる。

・パスワードは定期的に変更する。
（初期パスワードは初回ログオン時に変更する　初期パスワードは、自分以外に初期設定を行った管理者も知っている。）

・パスワードの入力にソフトウェアキーボードを利用する。（IMEパッド）または（スクリーンキーボード）
※スクリーンキーボードは『すべてのプログラム』→『アクセサリ』→『コンピュータの簡単操作』→『スクリーンキーボード』

・ようこそ画面（ユーザーの一覧表示される画面）を表示しないように設定する。
直前に利用したユーザー名を表示しないように設定する。

・変換した文字列の特定位置の特定文字数を取り出す。
　3文字目から１０文字目までの8文字を利用。

・文字列の一部を入れ替える。最初の2文字を最後に移動
＜例＞曲名：花火/ミスチル
　　　　　　けっしてつかまえることのできない　
　　　　　　　↓
　　　　　　keltus1tetuk@m@eruk0t0n0dek1n@1
↓
　　　　　　s1tetutu　
　　　　　　　　　　　　　　　　　　 ♪パスワードつけ方サンプル♪

・自分の好きな文章を思い浮かべる

・好きな文章をローマ字に変換する

・ローマ字に対して、自分なりの変換規則を適用して、数字。英大文字、英小文字、特殊文字が混在するようにする。

・変換した文字列の特定位置の特殊文字数をとりだす

・文字列の一部を入れ替える。