こんにちは!
社会人になってから肩こりと体重の急増になやんでいるえりにゃんですヾ(´∀`)ノ♪
セキュリティ業界でSEをやっております。
今日は「dots girls Advent Calendar 2015」の10日目を担当します。
ネタは、エンジニアならば誰もが避けては通れない「パスワード管理」について語ります。
#脆弱なパスワード使ってませんか?
画像出典元:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/keihatsu/munekyun-pw/
突然ですが、あなたはどんなパスワードを使ってますか?
。。。。えっ!?
英数字のみ??
大文字記号なし?
複数サイトで使い回し??
#パスワードの安全性を確認してみましょう!
そんなわけで、脆弱なパスワードをつかう危険性について考えてまいりましょう~。
環境はローカルのサーバにたててます。
攻撃にはkaliLinux(攻撃用ツールがセットされたLinuxディストリビューション)をつかいます〜!
##John the Ripperの紹介
今回はkaliLinuxにセットされているパスワードクラッキングツールをつかいます。
※caution!!
本ソフトは、脆弱なパスワードの有無を確認し、運用改善をはかるためのツールです。
外部に対して悪用した場合、不正アクセス禁止法にて罰せられますので、決してやらないでください。
##John the Ripperを使ってみる
今回は3つのアカウントを用意してみました。
1.笑うほど脆弱なパスワード
2.ありがちパスワード(キーワード+誕生日)
3.強固なパスワード
それでは、レッツハック!
##1.笑うほど脆弱なパスワード編
手始めに、パスワード「password」という大変頭の悪そうなパスワードで試します。
John the Ripperには、解析方法によって3つのモードがあります。
今回はあらかじめ登録された「辞書リスト」をもとにこじ開けるモードを使います。
待つこと・・・・1秒でした\(^o^)/
次!
##2.ありがちパスワード編(キーワード+誕生日)
これは意外といるんじゃないかなぁ? ドキドキ。
では、やってみましょ~~ えいや!
なんと、、、待つこと、わずか13秒?!!?!!!
予想以上の速さでした!こえ~~~
ちなみにパスワードは apple1210 でした。
キーワード+誕生日って、ちょっとやりがちですよねw
最後!
##3.強固なパスワード編
辞書モードだとおそらくできないので、ブルートフォースモードにしました。
※ スイマセンあまり詳細なロジックについて分かってないのですが、
とにかく1文字ずつ変えて、あらゆる文字記号の組み合わせを試していく。。。らしい。。。
これは解けそうにないので、今日は解析させながら寝ますw
ではおやすみなさい~~ (つ∀-)
~結果~
朝7時現在、まだ解析が続いておりまする。
夜1時くらいから開始したので、6時間は超えてますね。
ちなみにパスワードはテスト2を少し文字って、
「@Pple12!O」でした(ノ゚∀゚)ノw
#まとめ
いかがでしたでしょうか?
「ドキッ」とした方、この機会にぜひ、見直してみてくださいね!
パスワード作りのポイントは、
大文字英数字記号を含む、8文字以上で、使いまわさない!
ですよ♪
##おまけ
本日もdots女子部が開催されておりますヾ(´∀`)ノ
- dots.女子部勉強会 vol.4 デザインハンズオン~まずは名刺デザインから(初心者向け)~
- http://eventdots.jp/event/575332
辻原咲紀さん(デザイナー)をお呼びして、名刺デザインハンズオンをするという
なんとも女子らしい企画ですw
名刺作って配りまくるぞう~~
ではでは、楽しんできまっす(´∀`)ノシ♪