「第3回アイティメディア チャリティイベント パスワード保護の現状と課題」のまとめ
現在チャリティイベントで徳丸さんが講演中。私は参加できていないんですが関連記事は「パスワードの定期変更という“不自然なルール”」 http://ow.ly/5poJP #itm_charity
2011-06-24 19:13:22パスワードへの攻撃については、オンラインクラックとオフラインクラックをしっかり区別して考えよう。 #itm_charity
2011-06-24 19:14:20オンラインクラックとオフラインクラック。オンラインはリモートからの試行、オフラインは何らかの情報から平文を求める。 #itm_charity
2011-06-24 19:15:57オンラインクラックのパターンの話。ID == PASSといったjoeアカウント狙いかパスワードを固定したリバースブルートフォース狙いが現実的。ボクも検査のときはまずそれを試しますね。あとは組織やシステム名に関連しそうなパスワードの推測とかをします。 #itm_charity
2011-06-24 19:20:25amazonでは128文字までのパスワードを設定することができる。twitterではpasswordという文字列をパスワードにはできなどの運用側の努力もある。あとはアカウントロックとか。 #itm_charity
2011-06-24 19:21:47メールアドレスがIDとなるシステム多い。システムごとにメールアドレスを使い分けるとどこから漏れたか分かるかも。 #itm_charity
2011-06-24 19:24:38「1234567890」とかでOKでるけどtwitterの努力を認めてあげよう! #itm_charity
2011-06-24 19:26:01できるでしょうけどやろうと思うと結構非現実的だったり。 RT @ntsuji メールアドレスがIDとなるシステム多い。システムごとにメールアドレスを使い分けるとどこから漏れたか分かるかも。 #itm_charity
2011-06-24 19:30:16ハッシュは安全?一般的には平文に戻せないと言われている。しかし、パスワードは事情が違う。例えば4桁パスワードだと1万通りなので総当たりでやればいつかは割れる。 #itm_charity
2011-06-24 19:30:42rainbow tableでかすぎ!還元関数というアイデアによりデータ圧縮を実現。 #itm_charity
2011-06-24 19:36:14両方とも知らんかった。勉強になつわた‼ RT @naokichi: #itm_charity アカウントロックで対策、でもジョーアカウントとかリバースブルートフォースには単純には対策できない
2011-06-24 19:44:21最近の事例みたいに、別の場所で漏洩した ID/PWでなりすましをされたら(ユーザーが使い回してたら)、防ぐの難しいですね。FBはこの前、該当するアカウントのパスワードを強制リセットしてましたね。
2011-06-24 19:44:28