パスワードについて考える
パスワードを聞き出す手口
- Jurassic Park
- 画面を睨んでいるうちに、パスワードがわかってしまう。(ありえない!)
- 映画「ザ・インターネット」
で
- 偶然拾ったサイフに入っていた紙切れに書いてあった。
- 電話で
- すみません、お宅の会社のシステムがおかしいんで、こちらからチェックしますが、 パスワードを教えてください。
- フィッシング
システムに侵入されたら
- 全員のパスワードが知られてしまうのか?
- S ドメインで 8,000人くらい。
- 知られてしまうわけではない。(別人のパスワードはわからない)
システムによるパスワードチェック
- パスワードを暗号化して保存:
mickey:{SHA}Blln6e4O7x0MREUQ7YSj43RxBuo= - 入力したパスワードを同じ方法で暗号化して、保存したものと比較:
$ python Python 2.5.4 >>> from hashlib import sha1 >>> from base64 import b64encode >>> b64encode(sha1('doraemon').digest()) 'Blln6e4O7x0MREUQ7YSj43RxBuo='
総当たり攻撃
- 総当りでパスワードを解読するには
- 0-9,A-Z,a-z (62文字から選ぶ)
- 1 文字 62通り /2 文字 3,844通り ... 6文字 56,800,235,584通り
- 毎分 1,000,000,000回 解読できるソフトもあるらしい
- 6文字 1時間 ... 8文字 150日
パスワードを考える
- 破られやすいパスワードを使わない
- パスワード ≠ ユーザ名 | ユーザの本名 | 生年月日
- 覚えやすく破られにくいパスワードを考える
- (ひい)おばあちゃんの名前・おじさんの住所
- sumiko -> suMiko -> s5Miko -> s5Miko#
ランダムなパスワード
- ランダムな文字列発生器 みたいのを使う
- わりと覚えやすそうなパスワードができます
- ランダム文字列 で検索しても色々出てきます。
- パスワードは紙に書かないこと?
- ユーザ名とは別にして、どこかに記録しておく。(無くしたりしなければ OK)
パスワードを変更してみる
- パスワード変更について
- 上記、情報処理センターの説明も読んで、
- パスワード変更インタフェース にログインして、パスワードを変更してください。
- 上記サイトの URL は、https://password.kochi-u.ac.jp/ です。
- https なので、「鍵がかかる」こと と、URL を確認してください
パスワードを変更したら
- パスワードを PC に記憶させている場合、いつものようには、ログインできなくなります。
- 学生用グループウェア にログインして、確認しましょう
- KULAS でもログイン確認
- Thunderbird でメールを受信して確認しましょう。
- FFFTP でログインできることを確認しましょう。