[Exp2008]パスワードセキュリティ

スケジュール表・各回資料 (4/25)へ

クラッカーの被害に遭遇し, ネットワークが何日も使えなくなってしまう事件 は私たちの周辺でも結構頻発しています. 今年の私たちにも馴染み深い本学の 部局, 某著名大学の関連学科など枚挙に暇がありません.

実はこれらの被害はほとんど全て, その機関の 『たった一人のユーザーのパスワードが盗まれてしまったこと』 が原因 なのです. そのために被る損失は とても大きく, 例えば, あるネットワーク管理者は復旧作業のために泣く泣く 研究会に行く航空便をキャンセル (有料) しました. 私たちの業界では金銭的 価値のあるデータは少ないかもしれませんが, 下手をすれば長い間苦労して集 めた卒業 (修士, 学位) 論文のデータが失われて留年を余儀なくされたり, 申 請書類が〆切に間に合わなくなり, 来年の研究費をあきらめなくてはならない と言うことも起こりうるのです.

パスワードは決して他人に教えてはいけないし, すぐにばれてしまうような安易なものもつけてはいけません. またときどき変えることも重要です. パスワードの管理は単に自分のアカウン トの保護だけではなく, 他のユーザーやネットワーク管理者に迷惑をかけない ためにも必要なのです.

例えば以下のような人物がいるとします.

氏名:       早矢仕 将輔
ログイン名: hoge
住所:       神戸市灘区六甲台 1-1
電話:       078-803-6472

このような場合に, 以下のようなパスワードは 絶対につけてはいけません.

• ログイン名, 自分の名前, 関係者の名前
  • hayashi, hoge, syousuke
• 電話番号や生年月日、住所、車種など個人情報から推測出来るもの
  • 07880364, rokkodai
• 上記から簡単に作れるもの (繰り返しや逆綴り)
  • Hayashi, SHayashi, ishayah, hayasyo
• 上記に数字や記号を追加しただけのもの
  • Hayashi078, hayashi3
• 上記の一部を「sを$に」「oを0に」「iを1に」「lを1に」 などの単純な規則で変えたもの
  • Haya$h1

この他にも, 以下のものはダメです.

• 辞書にのっている単語 (英和問わず), それらの羅列
  • どんなにマニアックな単語もダメです
• 全部数字, 全部同じ文字
  • 1111111, aaaaaaaa
• 6 文字未満
  • a4#

これらはすぐバレます. 厄介なことに, 上記の情報を手がかりに自動的にパス ワードを盗むソフトが出回っています. 上記のようなパスワードを使用してい たために被害にあった例が実際に頻発しているのです. くれぐれも注意して下 さい.

1 人で複数のパスワードを保有する場合は珍しくありません.

例えば, 専攻ネットワークサーバーの利用者は, 少なくとも 2 つパスワードを 設定します. それはメールサーバーおよび Web サーバーへのログイン用のパ スワードです. また, アカウントとは別に, ホームページ用とメール読み出し 用のパスワードも多くの利用者に必要となります.

このような, 2 つ以上のパスワードは, 必ずそれぞれ異なるように設定しなくてはいけません. これは, 不幸にも何かの拍子にパスワードの 1 つが盗ま れた際, 被害の拡散を食い止めるためです.

アカウントを貰った時, システムによっては, 管理者から最初に利用する際の パスワードを指定されることがあります (「最初はこのパスワードを使ってね」 てな具合). こうしたパスワードを初期パスワードと呼んでいますが, これは 最初のログインをしたら必ず変更しなければなりません. 初期パスワードは他 人の目に触れやすいからです.

パスワードの付け方のルールは次の通りです.

• 大文字, 小文字, 数字, 記号を少なくとも 6 文字以上並べる.
• 8 文字を越えて並べた場合, 先頭 8 文字が有効.

実際はさらに, 他人に類推されることのない (複雑で), しかしメモはしなくても自分は忘れないパスワード をつけることが重要です. 以下はその一例です.

• 気に入った文章や詩などの頭文字を並べてみる。

  Boys be ambitious ! -- W. S. Clark.
  → Bba!wsc
  
  Tokaino kojimano isono shirasunani warenakinurete kanito tawamuru
  → tkiswktawa

• パスワードには出来る限り「大文字と小文字」「記号」「数字」を混在させる。

  tkiswktawa
  → tk1swkt121
  
  Bba!wsc
  → B6a!*wsc

• 人が打鍵しているところは見ない.
• アカウントの貸し借りはしない.
• パスワードは決して他人に教えてはいけない.
• できるだけ頭にしまっておく.
• メモするなら無くさない見せない捨てない.
• 他のアカウントのパスワードと同じものにしてはいけない.
• 初期に設定されている場合は最初のログイン時にかならず変える.
• ときどき変更する.

ログイン用パスワードを変更するには, passwd コマンドを用います.

$ passwd

passwd と入力し Enter キーを押すと, 次のように表示されます. 下の例は adon さんがパスワードを変更していると仮定しています.

$ passwd
Changing password for adon   > ユーザー"adon" のパスワードを変更します.
(current) UNIX password:     > ユーザー"adon" の (現在の) パスワードは?

今使っているパスワードを尋ねてくるので, 入力し, Enter を押します. この 時, 画面には何も表示されません.

$ passwd
Changing password for adon
(current) UNIX password:     < 今使っているパスワードを入力します. 
Enter new UNIX password:     > ユーザー"adon" の新しいパスワードは?

今度は新しく設定するパスワードを尋ねてくるので, 入力し, Enter を押しま す. 続いて確認のために再度入力するようにと表示が出るので, 新しく設定す るパスワードをもう一度おなじように入力し, Enter を押します. この時も, 画面には何も表示されません.

$ passwd
Changing password for adon
(current) UNIX password:              < 新しく設定するパスワードを入力します.
Enter new UNIX password:              < 確認のため, もう一度同じものを入力します.
Retype new UNIX password:             > パスワードは正常に更新されました.
passwd: password updated successfully

問題がなければ, これでパスワードの変更作業は終わりです.

このページは以下の資料を基に作成しました.

• 北海道大学 理学院 情報実験 (INEX) ： パスワードセキュリティ (2007 年度資料)
• EPNetFaN ： 最低限セキュリティパスワードの正しい付け方 (1999年10月29日座学編)

スケジュール表・各回資料 (4/25)へ