まずはこちらをご覧ください
恥ずかしながら知りませんでした。(知ってたひといる?)
5月の第1木曜は「世界パスワードデー」なんだそうです。
そのようなわけで、パスワードについて思うところをお話してみたいと思います。
古今東西さまざまな手法でパスワードを盗み出すことが試みられてきました。
そもそもどうしてパスワードが漏れるのか、有名なところだけをご紹介したいと思います。
●ソーシャルハッキング
ハッキングと行ってもPCを使用したものばかりとは限りません。
最も原始的なハッキング手法、それがソーシャルハッキングです。
やり方は、スパイ映画よろしくビル清掃などを請け負う会社に入社するとか、
あるいは制服を偽装したりしてビル内に潜入します。
IDカードがないと昨今は難しくなったかも知れませんが、清掃スタッフをひとりどうにかすれば手に入りそうです。
こうしてターゲットに潜入したあとはいくつかの手段でもって機密を盗み出します。
ゴミ箱を漁る、ディスプレイに貼り付けられた付箋を見る、機密を知る人物の口から何らかの手段で聞き出す、などです。
その中には下記のショルダーハッキングが含まれます。
●ショルダーハッキング
これは簡単なもので肩越しにタイプ内容を覗き見る行為です。
そのためパスワードはタイピングが苦手な人も素早く打てるようにする練習をしておくべきでした。
ただし現在は要求されるパスワードの桁数と複雑性のせいで早くタイプすることが難しくなっています。
スマートグラスのようなもので観たものを動画として保存し、あとでゆっくり再生すればクラックできそうですね。
●ブルートフォースアタック
これは総当たり攻撃とも言います。
高性能なCPU/GPUがあれば、対象のパスワードを総当りで試していくことでいつかパスワードを突破できます。
ではその「いつか」とはどのくらいなのでしょうか。
下記URLに驚きの数値が記載されていますのでぜひご覧ください
https://devblog.lac.co.jp/entry/20220513
こちら2年前の記事なので現在はもっと性能が上がっていますね。
それと同時に、パスワード長の重要度がわかるかと思います。
もちろん複雑性も兼ね備えているとより良いですね。
この表はぜひとも一読しておいていただきたいと思います。
またこの記事内に「ペネトレーションテスト」という言葉が出てきます。
セキュリティ会社などで使う言葉で、システムにセキュリティ上の問題がないか、侵入試験を行うものです。(やってみたい・・・)
●ディクショナリーアタック
あらかじめ辞書を用意しておき、それらをパスワードとして試すものです。
単語をすべて使用したあとは辞書に載っている言葉の組み合わせで攻撃を続行していきます。
パスワードを意味の通る言葉にしないよう、心がけてください。
- 上記2項に関しては簡単に攻撃を行えるツールが存在します。
またそういったツールは1時間いくらでレンタルも出来ます。
自分ではコードが書けないけれどもそうしたツールをレンタルすることで攻撃者はより手軽に攻撃を行うことができるのです。
つまりサイバー犯罪者とはどこか遠い国の話ではなくて、
あなたのすぐ隣に住んでいるかも知れない身近な存在なのです。
(もはや地理は関係ないですが)
さてここまでパスワードを奪取する方法を少しだけ紹介しました。
覚えておいていただきたいのは、
・パスワードはいつか破れる
・桁数12は必要
・侵入できないシステムはない
ということです。
クローズドな環境であれば物理的に侵入すればよいのです。
誘拐を行って口を割らせても構いません。
システム担当(だったひとを含む)を買収する、拷問にかける
家族を人質にとるなど、いくらでも可能なのです。
少し前にご紹介した、情報セキュリティ10大脅威 2024 解説書(PDF)
https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf
32ページから36ページだけでもお読みください。
こちらではIDとパスワードによる認証の限界を論じ、パスキーへの移行を促しています。
>IPAとしてはもはやパスワードによる保護よりもパスキーの普及を推奨している模様(P32~)
★もうすこしお話したいこともありますがまた長くなりそうなので、今回はこんなところにしておきたいと思います。