« 2005年11月 | メイン | 2006年01月 »

2005年12月15日

あなたのパスワード、ヘボヘボですから?残念!

2002年に開催された「セキュリティ・スタジアム」でお目見えした
話題のパスワードチェッカー「認術大会」が無償配布された。
パスワード教育用フリーソフトウエア 認術大会 ver1.0

あなたが使っているパスワードが本当にヘボヘボかどうか、
この「認術大会」を使って試してみるといいだろう。

まずは筆者が当時書いた記事をここに再掲しておこう。
http://www.itnavi.com/mag/Vol048.htm

WPC EXPO 2002 内で行われたイベント セキュリティスタジアムの一角に、パスワ ードの脆弱性をチェックするコーナーがあった。

あなたのパスワードは何点?――脆弱度チェック・コーナーで確認

技術者の技術が激突する「セキュリティ・スタジアム」が開催


 このツールを作成したのは、日経ネットワークセキュリティにも記事を書いてい
るセキュリティ研究グループ SecurityFriday.com だ。

このツールに、みなさんが普段使っているパスワードを入力してみると、おそらく
このような画面「弱すぎです」が表示されることだろう。

あまりにも、へぼすぎるとマイナス100点が出ることもある。単純に、数字や記号、
大文字が混ざっているか、長さが十分かだけでなく、解析ツールJohn the Ripper
の解析アルゴリズムに基づく評価を行っているようだ。

それは出現頻度リストの後ろの方の文字を必ず組み入れることで、点数が上がるこ
とから推測できた。10文字程度のパスワードでも、400人中4位に上がることができ
たからだ。

日経ネットワークセキュリティの記事に掲載されていた出現頻度リストは、このよ
うになっている。(実際には文字位置によって変わる)
earoinstlcmd1uhpbgyk2fw30594vj76S8zABMCRxTDEPLNHJGKFOlgW!YVU.Z$*Q_X@%#-&?^
(;)/'+~,=[]:<>`{|}"\

そこで セキュリティフライデイの方に聞いてみた。多くの人が記号を多用したパ
スワードを使うようになった場合、解析ツールの解析アルゴリズムが変わる可能性
があるのでは?という質問に対し、「統計的にも出現頻度リストが、大幅に変わら
ない限り有り得ないだろう。」と答えた。

右側に順位のリストが表示されるなどゲーム的な要素もあり、セキュリティ教育に
も使えるツールなので、是非リリースして欲しいものだ。

 パスワード認証は、人間の記憶に頼らなければならないことや、キーボードによ
る入力では 100文字などという長いパスワードを使うことは現実的ではない。脆弱
であるとわかっていながら、今日まで日常的に使われてきたのだが、最近では、IC
カードやUSBなどの認証デバイスやバイオメトリクス認証など、パスワード認証に
取って代わる手段が徐々に普及しつつある(PINコード入力など一部パスワード的要
素は残るが)。パスワード認証は、近いうち、これらの手段に取って代わるのでは
ないかと聞いたところ、バイオメトリクス認証に関しては否定的であった。セキュ
リティフライデイの方は「バイオメトリクス認証には指紋認証や虹彩認証などがあ
るが、欲しい情報の価値が高ければ危険だ。海外では情報を得るために、腕を切り
落としたり、目をくり抜いたりする事件も起きている。」と語った。

もはやパスワードだけに頼った認証は時代に合わなくなってきている。
せめて少しだけでも工夫して、強いパスワードを使ってもらいたい。

「認術大会」の無償配布によって、パスワード認証の脆弱性に気付く人が多くなることを願ってやまない。

■関連記事
パスワードの強度を競いながら学べる教育向けソフト「認術大会」
パスワード強度をゲーム感覚で競い合うソフト「認術大会」無償配布
パスワード教育ソフト「認術大会」,セキュリティフライデーが無償公開

2005年12月12日

マイクロソフトが公共施設やネット・カフェの共用パソコンを安全にするツール「SCT」を無償配布

マイクロソフトは,不特定多数のユーザーが共用しても,安全にパソコンを利用できるようにするツール「Shared Computer Toolkit for Windows XP」(SCT)を無償で提供する。

12月15日に同社のWebサイトからダウンロードできるようになる。

SCTには、「スタート・メニューで利用できる項目を限定する」「データを保存できなくする」「閲覧できるWebサイトを限定する」など操作を制限する機能や、ユーザーがOSやレジストリの設定をしたり、アプリケーションをインストールしても、再起動すると元の状態に復元する機能を持つ。

特に環境復元機能「Windowsディスク保護ツール」は、図書館や学校のPC教室、インターネット・カフェなど不特定多数のユーザーが共同利用するパソコンで有効だ。

パスワードの記憶、インターネットの履歴やお気に入り、オートコンプリート、最近開いたドキュメントの一覧など、他のユーザーに知られては困る情報を消したり、PCの設定の変更、スパイウェアやウイルスの感染さえも、再起動するだけで元の状態に戻すことができるものである。

これまでDrive ShelterRecovery Geniusなどの市販製品を使っていた領域の一部が、マイクロソフトが提供するSCTで実現できることになる。

このような環境復元ソフトでは、ファイル・レジストリの変更やBIOSの変更を監視するなど、ハードウェアやアプリケーションとの相性によって、動作障害が発生するケースが少なくない。

OSメーカーであるマイクロソフトが開発するこのツールが、市販製品に勝る信頼性を実現できているのかに注目している。

■関連記事

マイクロソフト,公共施設やネット・カフェの共用パソコンを安全にする操作制限ツールを無償提供

マイクロソフト、共有PCのセキュリティを向上させるツールを無償配布

みんなで使うPCを安全にするMSツール

■追記

12月20日にダウンロード可能になった。
Microsoft Shared Computer Toolkit for Windows XP ホーム