「第3回アイティメディア チャリティイベント パスワード保護の現状と課題」のまとめ
-
- いいね!0
Takeshi Miyata/ライター
@tamiyata
現在チャリティイベントで徳丸さんが講演中。私は参加できていないんですが関連記事は「パスワードの定期変更という“不自然なルール”」 http://ow.ly/5poJP #itm_charity
2011-06-24 19:13:22
辻 伸弘 (nobuhiro tsuji)
@ntsuji
パスワードへの攻撃については、オンラインクラックとオフラインクラックをしっかり区別して考えよう。 #itm_charity
2011-06-24 19:14:20
せきやすひさ
@office_acer
オンラインクラックとオフラインクラック。オンラインはリモートからの試行、オフラインは何らかの情報から平文を求める。 #itm_charity
2011-06-24 19:15:57
辻 伸弘 (nobuhiro tsuji)
@ntsuji
オンラインクラックのパターンの話。ID == PASSといったjoeアカウント狙いかパスワードを固定したリバースブルートフォース狙いが現実的。ボクも検査のときはまずそれを試しますね。あとは組織やシステム名に関連しそうなパスワードの推測とかをします。 #itm_charity
2011-06-24 19:20:25
辻 伸弘 (nobuhiro tsuji)
@ntsuji
amazonでは128文字までのパスワードを設定することができる。twitterではpasswordという文字列をパスワードにはできなどの運用側の努力もある。あとはアカウントロックとか。 #itm_charity
2011-06-24 19:21:47
辻 伸弘 (nobuhiro tsuji)
@ntsuji
メールアドレスがIDとなるシステム多い。システムごとにメールアドレスを使い分けるとどこから漏れたか分かるかも。 #itm_charity
2011-06-24 19:24:38
辻 伸弘 (nobuhiro tsuji)
@ntsuji
「1234567890」とかでOKでるけどtwitterの努力を認めてあげよう! #itm_charity
2011-06-24 19:26:01
*ぽったん*/美根久永/MINE, H.
@seiho_tandoku
できるでしょうけどやろうと思うと結構非現実的だったり。 RT @ntsuji メールアドレスがIDとなるシステム多い。システムごとにメールアドレスを使い分けるとどこから漏れたか分かるかも。 #itm_charity
2011-06-24 19:30:16
辻 伸弘 (nobuhiro tsuji)
@ntsuji
ハッシュは安全?一般的には平文に戻せないと言われている。しかし、パスワードは事情が違う。例えば4桁パスワードだと1万通りなので総当たりでやればいつかは割れる。 #itm_charity
2011-06-24 19:30:42
辻 伸弘 (nobuhiro tsuji)
@ntsuji
rainbow tableでかすぎ!還元関数というアイデアによりデータ圧縮を実現。 #itm_charity
2011-06-24 19:36:14
kimimasa sato(佐藤公理)
@kimimasa
両方とも知らんかった。勉強になつわた‼ RT @naokichi: #itm_charity アカウントロックで対策、でもジョーアカウントとかリバースブルートフォースには単純には対策できない
2011-06-24 19:44:21
Masafumi Negishi
@MasafumiNegishi
最近の事例みたいに、別の場所で漏洩した ID/PWでなりすましをされたら(ユーザーが使い回してたら)、防ぐの難しいですね。FBはこの前、該当するアカウントのパスワードを強制リセットしてましたね。
2011-06-24 19:44:28