ホントとは?/ ノーローン
[ 120] エンタープライズ:パスワード設定のホントとウソ(前編) (1/2)
[引用サイト] http://www.itmedia.co.jp/enterprise/0310/03/epn15.html
|
エグゼクティブ セミナー【間違いだらけのJ-SOX 取り組むべきは経営改革】ブログで最新の話題をチェック!「オルタナティブ・ブログ」 しばしば「パスワードは長ければ長いほどいい」「付箋などにメモしてはいけない」などと言われる。だが、時代の変化やパスワードシステムの仕組み、現実の運用を踏まえると、中には妥当でないことも多い。その真偽について迫ってみよう。 コンピュータセキュリティを構成する基本的かつ重要な要素として、本人認証がある。その本人認証を行う上で、現在最も幅広く利用されている手段がパスワードだ。しかしパスワードは、運用の仕方によってはまったく意味を持たなくなってしまうこともあり、セキュリティ上の大きな問題となっている(別記事参照)。 パスワードが正しく運用されていない原因の1つに、誰もがパスワードの強さについて知っているわけではなく、今自分が利用しているパスワードがどれくらい弱いのか、そしてどうすれば強くなるのかについて、理解していないことが挙げられるだろう。そこでこの記事では、一般に言われているパスワードの「迷信」を真正面から斬って、パスワードの強さの本質について考察し、適切なパスワード運用を行うための指針を示していく。 そもそも、パスワードの強さとは何のことを示すのだろうか? 憶えにくいパスワードならば強いのだろうか? それとも長いパスワードが強いのだろうか? その答えは、パスワードの使命について考えてみれば見えてくる。 誰かのパスワードを知ることができれば、そのパスワードによって守られている各個人の個人情報や企業の秘密情報などを手に入れることができる。パスワードが他人に知られてしまうと、もうパスワードは無意味なものになる。つまり、パスワードとは、他人には知られてはいけないものなのだ。 しかし、世の中には悪意を持って他人のパスワードを知ろうと試みる人がいる。こうした悪意を持った攻撃者は、他人のパスワードを知るためにさまざまな推測方法を研究してきている。そう考えていくと、パスワードの強さとは、このようなパスワードの推測に対し、どのくらい長い間ばれない(=推測されない)パスワードであるかが指標となる。 このような悪意を持った攻撃者たちは、パスワードの推測を行う際にさまざまなパスワード推測アルゴリズムを用いる。中でも一般的には、3つの段階に分けて推測が行われることが多い。 彼らが最初に試すのは、その人の情報から類推されるパスワードだ。つまりユーザーの名前、生年月日、社員番号、好きな物の名前など、その人に関する情報や趣味、嗜好などから類推しやすいものが試される。 そして次に、辞書アタックと呼ばれる推測が行われる。この段階では、あらかじめ用意された単語リストに載っているパスワードが試される。この単語リストには、辞書に掲載されている単語や一般にパスワードとして使われやすいワードなどが載っている。 ここまでの推測で見つからなかった場合、最後の手段として、ブルートフォースアタック(総当り攻撃)と呼ばれる推測手段が取られる。この段階では、パスワードとなりうる文字の組み合わせがすべて試される。 攻撃者が最初に試す「ユーザーの情報を用いた推測」では、試されるパスワードの数も少ないため、攻撃者が自らパスワードを入力してパスワード推測を行うこともある。しかし、それ以降試みられる辞書アタックやブルートフォースアタックでは、推測に用いられるパスワードの数も非常に多い。このため、PC上で自動的にパスワードの推測を行うツールがいくつも存在する。現実に、パスワードの推測は、これら自動化されたツールを用いて行われることが多い(画面1)。これらのツールを使えば、現在のコンピュータの性能でも、1秒当たり数千から数十万ものパスワードを試すことができる。「パスワードは他人にはばれないだろう」と考えている人たちの想像を超える速さで、パスワードの推測は行われるのだ。 この結果、ユーザー情報から類推されるパスワードや辞書に載っているような単語を使ったパスワードを用いていると、わずか数秒から数分でそのパスワードが推測されてしまう。一般に「ユーザーの名前や誕生日、辞書に載っている単語などをそのままパスワードに使ってはいけない」と言われているが、そのとおり、これらはやはり絶対に使ってはならない非常に弱いパスワードなのだ。 また、総当り方式でパスワードの推測を行うと、理論上いつかは必ずパスワードが判明する。したがって、絶対にばれない最強のパスワードなどというものは存在しない。 ここまで、パスワードをめぐる脅威にはどんなものが存在するかについて説明してきた。これを踏まえると、適切なパスワードを設定することがいかに重要かがお分かりいただけるのではないだろうか。 では、その「適切なパスワード」とは、いったいどのようなものだろうか。実のところパスワードに関しては、昔から言われ続けている迷信的なアドバイスがいくつもある。そしてこれらの中には、パスワードを使用する環境の変化などによって実情に合わなくなってしまったものや、そもそも根拠が曖昧なものも含まれている。 民間からCIOとして長崎県庁に入り、8年目。「電子自治体化にかかるコストを大幅に削減せよ」というミッションを与えられ奮闘中だが、自らの経験をもとに、コスト削減に必要な「視点」について考えてみた。 プロシークは求職者を対象に実施したアンケート結果を発表した。コンサルタント、IT、クリエイティブ関連の求職者の50%以上がスカウトを活用していることが分かった。 アプリケーションに見るトラステッド・コンピューティング:ノートPCのデータを絶対に漏えいさせないために FOOキャンプで産声を上げたchumbyは、これまでの情報端末の姿を変える可能性を秘めている。何より、開発元がハッキングを推奨するといういい意味でGeekのためのデバイスとなっているのが素晴らしい。 1年前に投稿されたこの記事。「来年の今ごろになれば、Web2.0などは過去の出来事の1つに成り果てている可能性すらある」と述べられているが、現状と併せて読み進めてみると、幾分の真実が含まれている。 |
[ 121] ゴキブリが怖い「ホントの理由」を考える | エキサイトニュース
[引用サイト] http://www.excite.co.jp/News/bit/00091185988122.html
|
誰もが嫌う「ゴキブリ」。その理由については、「あの黒光りが」とか、「スピードが」とか、「飛ぶところが」とか、いろんな言い分があるけれど、実際のところ、どうなのか。黒光りした虫といえば、大人気の「カブトムシ」「クワガタ」だって同じだし、スピードだって、本当にそんなに速いのかわからない。「飛ぶ虫」だって、山ほどいるじゃないか。本当はよくよく考えたら、「意外と平気」だったりしないだろうか。そんなわけで、本当にゴキブリが怖い理由、ゴキブリの「特殊性」について、「コックローチ」などでおなじみの大日本除虫菊株式会社に聞いた。まず、ゴキブリのスピードについて。本当にそんなに速いのですか?「ワモンゴキブリの場合、1秒間に約1.5メートル走ることができます。これは1秒間に自分の体長の40〜50倍の距離を進むことに相当します。また、ゴキブリは尾端の微毛という器官で空気の動きを察知することができます。この器官で外部からの刺激に対しても敏感に反応し、危険を察知したとき0.5秒以内に足を動かすことが可能なことから速く感じられるのでしょう」つまり、スピードはもちろん、「瞬発力」も抜群ということ。これは確かに勝てる気がしない……。また、ゴキブリの飛ぶスピードは確認できていないそうだが、「高所からグライダーのように滑空することはできますが、地上から飛び上がるほどの飛翔力はありません」とのこと。あくまで「陸上向き」なのだ。さらに、気になる「黒光り」。虫界においては、強く見えたりするものですか?「昆虫は人間に比べて、可視波長領域は短波長側(紫外線側)にズレているといわれますが、黒色に関しては昆虫にとっても人間と同様に見えていると考えられます。ゴキブリの場合、黒色は『強い虫』の象徴というよりも外敵から身を隠すのに適した色と考えた方が自然です」ちなみに、黒色以外のゴキブリも多数存在するという。ところで、「ゴキブリはどんな細いスキマも抜けられる」とよく聞くが、これって本当? もし、そうだとしたら、出入り自由なわけで、もう打つ手ナシな気になるけど……。「チャバネゴキブリの一令幼虫は0.5ミリ、成虫は1.4〜1.6ミリ、クロゴキブリの成虫は2ミリの隙間を通過可能ということです」そんなに薄い体じゃなく見えるのに、ズルイよ、ゴキブリ。で、さらに困るのは、ゴキブリの生命力が異様に強いといわれること。これも本当?「ゴキブリを殺すには、ハエや蚊などの小型の昆虫に比べると一般に多くの薬量を必要としますが、虫の体重を考慮すれば、ゴキブリが特に強いというわけではありません。ただし、ゴキブリは3億年以上前からほとんど姿を変えずに存在することから『生きた化石』とも呼ばれ、不潔な場所でも生存可能、雑食性であらゆるものをエサとし、さらには共食いさえ行う、といった点から『生命力が強い』といわれるのだと思われます」結論。ゴキブリはやっぱりあらゆる面で怖いです。困ったときは、アレコレ考えるより、殺虫剤を。(田幸和歌子) エキサイトブログユーザーならブックマークレット機能を利用してこのページにトラックバックできます。 |
ノーローンのサイトです。
