第3回名古屋情報セキュリティ勉強会行ってきた
Crackers / elhombredenegro
本日、第3回名古屋情報セキュリティ勉強会行ってきました。
今回のテーマはパスワード管理について
まず、NTTデータ先端技術株式会社 辻さん@ntsujiが
「パスワードは定期的に変更すべきか?」
という題で講演。
ペネトレとは
辻さんの最初の自己紹介で、「ペネトレ」していますって。
ん、ペネトレ??
私は恥ずかしながら今日はじめてペネトレって単語を聞きました。
何かのトレーニングかな。。。
ペネトレーションテスト(penetration test)の略で、日本語では、「侵入試験」、「セキュリティ診断」のことだそうです。
依頼されたサービスや会社のシステムの脆弱性を探すらしい。合法ハッカーって感じかな?
こんな脆弱性ありますよ、こんな風に直して下さいとレクチェ-するお仕事らしい。
ペネトレで発見される脆弱性の中で、危険度「高」でNo1なのは、パスワード関連で7割を占めるそうだ。
ちなみに、脆弱性を発見することを、そっち系の方は「ササる」というらしい。
興味ある方はこれを読むと良いかも。
パスワードクラッカー
Hacker Stock Photo / devdsp
パスワードクラッカーも大きく2つあり、オンラインパスワードクラッカーとオフラインパスワードクラッカーがあるそうです。
代表的なものは以下の通り。
■オンラインパスワードクラッカー
・thc-hydra
・medusa
・ncrack
各手法での性能比較していて、プロトコル別にクラックする速度や安定性をまとめていた。
■オフラインパスワードクラッカー
・john the ripper
・rainbowcrack
パスワードクラックへの有効な対策
Keys / Moyan_Brenn
一般的には、強固なパスワードにしましょう。定期的に変更しましょうと言われている。
辻さんいわく、定期的に変更するより、文字の桁数や文字種を増やすほうが効果的。
また、サービス利用者というよりサービス提供者が施すことになるが、アカウントロック機能が有効。
5回連続間違えたら10分ロックされるみたいなものです。
何回か連続で間違えたら、ユーザにメールするなど早期発見のしくみが大事で、サーバ管理者はアクセスコントロールを再チェックすること。
パスワードの定期変更が脅威を生む可能性もある。
変更を繰り返すうちに「覚えやすい」ものになったり、同一のパスワードを使いまわしたりしてしまって、余計に危険になる。
事例紹介
Anonymous en la operación Goya / gaelx
ANONYMOUSがHBGary Federal(HBGF)をこてんぱんにした流れを説明。
SQLインジェクションから始まって、パスワードばれて、gmailパスワードも使いまわしていたので、ソーシャルハッキングされて、…、権限奪取。
結局どうするか
「めっちゃ気をつける!」だって。
えっ、そんな。。。
パスワード管理ソフトを使うのもオススメと。
グループディスカッション
それぞれのパスワード管理のしかたや悩んでいることを議論。
業界によって全然情報管理も考え方が違うのに驚き。
携帯カメラNGだとかかなり厳格な業種もあるんだね。
私はなんて管理が緩い業界にいたのか再認識。。。
パスワードやセキュリティのルールも聞けて非常におもしろかった。
おまけ
もちろん、ケーキ、いちごだいふく美味しかったです。
写真取り忘れた。。。↓のtogetterにいっぱい画像あるのでそちら参照のこと。
辻さんの話はむっちゃ面白かったし、今回も非常に有意義な勉強会だった。
つぶやきまとめはこちら
http://togetter.com/li/291145
- 関連記事
-
- 第4回名古屋情報セキュリティ勉強会に行ってきた
- Twitterのパスワードを変更する方法
- 第3回名古屋情報セキュリティ勉強会行ってきた
- Apache Traceメソッド無効
- SSL 運営者は不明です
trackback
