日々学んだことを残しておこう。きっと未来の自分が探しにくる。 (ただ忘れっぽいだけです…)

第3回名古屋情報セキュリティ勉強会行ってきた



Crackers / elhombredenegro


本日、第3回名古屋情報セキュリティ勉強会行ってきました。

今回のテーマはパスワード管理について

まず、NTTデータ先端技術株式会社 辻さん@ntsuji
「パスワードは定期的に変更すべきか?」
という題で講演。


ペネトレとは


辻さんの最初の自己紹介で、「ペネトレ」していますって。
ん、ペネトレ??
私は恥ずかしながら今日はじめてペネトレって単語を聞きました。
何かのトレーニングかな。。。

ペネトレーションテスト(penetration test)の略で、日本語では、「侵入試験」、「セキュリティ診断」のことだそうです。

依頼されたサービスや会社のシステムの脆弱性を探すらしい。合法ハッカーって感じかな?
こんな脆弱性ありますよ、こんな風に直して下さいとレクチェ-するお仕事らしい。

ペネトレで発見される脆弱性の中で、危険度「高」でNo1なのは、パスワード関連で7割を占めるそうだ。

ちなみに、脆弱性を発見することを、そっち系の方は「ササる」というらしい。

実践 Metasploit ―ペネトレーションテストによる脆弱性評価
興味ある方はこれを読むと良いかも。


パスワードクラッカー



Hacker Stock Photo / devdsp


パスワードクラッカーも大きく2つあり、オンラインパスワードクラッカーとオフラインパスワードクラッカーがあるそうです。
代表的なものは以下の通り。
■オンラインパスワードクラッカー
・thc-hydra
・medusa
・ncrack

各手法での性能比較していて、プロトコル別にクラックする速度や安定性をまとめていた。

■オフラインパスワードクラッカー
・john the ripper
・rainbowcrack


パスワードクラックへの有効な対策



Keys / Moyan_Brenn


一般的には、強固なパスワードにしましょう。定期的に変更しましょうと言われている。

辻さんいわく、定期的に変更するより、文字の桁数や文字種を増やすほうが効果的。
また、サービス利用者というよりサービス提供者が施すことになるが、アカウントロック機能が有効。
5回連続間違えたら10分ロックされるみたいなものです。

何回か連続で間違えたら、ユーザにメールするなど早期発見のしくみが大事で、サーバ管理者はアクセスコントロールを再チェックすること。

パスワードの定期変更が脅威を生む可能性もある。
変更を繰り返すうちに「覚えやすい」ものになったり、同一のパスワードを使いまわしたりしてしまって、余計に危険になる。

事例紹介



Anonymous en la operación Goya / gaelx


ANONYMOUSがHBGary Federal(HBGF)をこてんぱんにした流れを説明。
SQLインジェクションから始まって、パスワードばれて、gmailパスワードも使いまわしていたので、ソーシャルハッキングされて、…、権限奪取。

結局どうするか


「めっちゃ気をつける!」だって。

えっ、そんな。。。

パスワード管理ソフトを使うのもオススメと。


グループディスカッション


それぞれのパスワード管理のしかたや悩んでいることを議論。

業界によって全然情報管理も考え方が違うのに驚き。
携帯カメラNGだとかかなり厳格な業種もあるんだね。

私はなんて管理が緩い業界にいたのか再認識。。。

パスワードやセキュリティのルールも聞けて非常におもしろかった。

おまけ


もちろん、ケーキ、いちごだいふく美味しかったです。
写真取り忘れた。。。↓のtogetterにいっぱい画像あるのでそちら参照のこと。


辻さんの話はむっちゃ面白かったし、今回も非常に有意義な勉強会だった。


つぶやきまとめはこちら
http://togetter.com/li/291145
関連記事

2012-04-21 : セキュリティ : コメント : 0 : トラックバック : 0
Pagetop
コメントの投稿
非公開コメント

Pagetop
« next  ホーム  prev »

広告

読みたいと思っている書籍

Amazon Web Services クラウドネイティブ・アプリケーション開発技法 一番大切な知識と技術が身につく Amazon Web Services 定番業務システム12パターン 設計ガイド イラストで学ぶ 機械学習 最小二乗法による識別モデル学習を中心に (KS情報科学専門書) イラストで学ぶ ディープラーニング (KS情報科学専門書)

カウンタ

メールフォーム

名前:
メール:
件名:
本文:

GoogleTranslate

管理人のつぶやき

人気記事ランキング

カテゴリ

openclose

ブログ内検索

全記事表示リンク

全ての記事を表示する

ブログパーツ