パスワード認証の安全性について
- 大学生が所属するサークルでインターネットストレージ導入を検討しているが、セキュリティについて心配。
- NTTコミュニケーションズのcocoaがパスワード認証とSSL通信を提供しているが、安全性はどれくらいか気になる。
- 過去の事件から、パスワード保護が破られることもあり、ハッカーが手に入れる情報やリスクについて知りたい。
- ベストアンサー
パスワード認証の安全性
大学生です。自身が所属するサークルで今、流行のインターネットストレージを導入しようと考えています。導入を検討しているのは、NTTコミュニケーションズのcocoaです。http://cocoa.ntt.com/cc_pc/UA001 サークルの写真などをみんなで共有できたり、さらにメーリングリストと連動できたりと本当に便利だな、と思うのですが怖いのがセキュリティなのです。パスワード認証とSSL通信がついていると書いてあるのですが、これってどれくらい安全なのでしょうか?よくパスワード保護がついているHPってありますが、あのパスワードって簡単に破ることができるってインターネット上でよく書かれているのを目にします。もしcocoaがハッカーに狙われて、認証システムが破られた場合、ハッカーが手に入れられる情報の類は何なのでしょうか?彼らが認証を破ったという表現を使う時は、IDとパスワードの対応表を手に入れたということなのでしょうか?それとも予めIDがハッカーに知られていた場合、パスワードが何か知ることができてなりすまし認証ができたということなのでしょうか?ハッカー関係のことは疎くてよくわかりません。どうか教えていただけませんでしょうか? 友人のサークルで写真をパスワード付きHPにアップロードしておいたら、それが破られてしまいサークルの女の子にストーカーがついてしまったという事件がありました。知らない男に後をつけられただけではなく、メールアドレスまで知られ、HPでアップロードした写真を送りつけられて、「逃げられないよ」というメッセージまできたそうです。サークル内の人間のいたずらとは思えません。こんな事件を自分のサークルでは起こしたくないので、安全性に関して調べたくて、質問した次第です。 参考書なども存在するようでしたら、是非教えていただけませんでしょうか?よろしくお願いします。
- pinkcream69
- お礼率36% (18/49)
- レンタルサーバ・ASP
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
#1です。 ちょっと内容がばらばらになってますが、一応アドバイスとして受け止めていただければ幸いです。 >パスワードは破られるってよくハッカーのひとって言いますよね。それってどういう意味なのかな?と疑問に思っています。 基本的に「憶測」または桁数が小さければ「総当り」でも破れます。銀行の暗証番号が突破されづらいのは、 1.IDが物理的(カード) 2.失敗回数に制限がある ため(キーの二重化)で、パスワード認証でもロックされる類のもの(一日3回等)が比較的安全なのはそのためです。ただし、一般のユーザーID&パスワード認証は銀行のようにIDが物理的でないため、脆弱性は否めません。 また、憶測されやすい暗証番号(生年月日、電話番号等)について銀行が注意を呼びかけているのも、上記の理由によります。(3回以内に合致する可能性があるため) ISPが「なりすまし(他人のユーザーIDを利用して本人になりすましてアクセスすること)」に対して注意を呼びかけるのは、IDが入手しやすいため、パスワードを憶測しづらくすることで不正利用を妨げる意味を持たせたいのだと思います。 これらも、銀行のカードに比べて格段にユーザーIDが入手しやすい(ある意味公開されている)ネット独特のシステムのためです。これを「便利」ととるか「危険」ととるのかは利用者の判断に委ねられると思っています。即ち被害に合った際のデメリットをちゃんと認識して、利用されるのが賢明かと。 また、なりすまし対策として、アクセスログを公開してもらえるかどうかもISPに伺っておくのも一つの手ではあるかと思います。 ※ちなみに銀行では正しい暗証番号の管理をしている限り特定金額まで「賠償」してくれますので、利用者が安心できるとも言えます。 >サーバーに何か作用を与えるとISPがもっているIDとパスワードの対応表が出てくるとかそういう類なのでしょうか? これはDBサーバーがハッキングされない限り漏れることはありえません。また、DBサーバーは通常外部からアクセス可能な場所には設置しませんので、逆を言えば漏れる場合は、 1.既にそのISPのサーバー全てが乗っ取られている 2.内部から手引きしている(情報漏洩) の何れかとなります。 ※直接ODBCのプロトコルを接続する手段があれば無いこともないですが、それを推察するぐらいならスーパーユーザー(管理者)のパスワードを推察する方が簡単です。
その他の回答 (1)
- chinensis
- ベストアンサー率40% (54/132)
はっきり書きますと「100%の安全はありません」。 とりあえずアドバイスだけ以下に記載しておきますので、気になるようでしたら目を通してみてください。 不正アクセスに関しましては、確証が得られれば立件すればいいと思います。その際にはISPも協力させられます。 基本的に「サーバー上に入っている情報」は盗まれる可能性があります。そのため、同一サーバーに全部の情報を入れるのは愚か者の考えです。例えば写真と名簿とメーリングリストをそれぞれ別のサーバーで構築してあれば、どれか一つがハッキングされたとしても(名簿はちょっとまずいですがそもそも入れませんよね)たいしたことはありません。もちろん複数のサーバーの管理方法(パスワード等)が同じではほとんど意味がありませんが、ハッキングする側にしても「あなたのサークル」を狙っているのであればともかく、普通は「ハッキングしやすいサーバー」を狙っているのであって、たまたま同じサークルのサーバーが立て続けにハッキングされる確立は無視できるレベルだと思います。(もちろん、各サーバーには別のサーバーの事は一切記載してあってはなりませんが) また、不正アクセスにつきましては、 1.パスワードの頻繁な更新 2.アクセスログの管理 3.休眠ユーザーのアカウント停止 等をまめに行えば、ハッキングされた場合、かなりの確率で発見出来ます。(というか、ハッキングされづらくなります) それと、運営しているISPさんもプロですので、ご質問者様のお持ちになっている不安につきましては相談できると思います。かなり漠然とした不安に感じられますので、まずはISPにご質問者さまの抱かれている不安について説明を求められるのも一案かと。
お礼
ありがとうがざいます。 情報が守れればそれで良いのですが、ハッキングの手法などが若干わかっているとどの程度のことをされるのか目星がつくので少しは安心できるかなと思って質問しました。 ISPに質問をしたところなりすましが一番危険なので、パスワードの管理をしっかりとしてくださいと言われました。でも、パスワードは破られるってよくハッカーのひとって言いますよね。それってどういう意味なのかな?と疑問に思っています。サーバーに何か作用を与えるとISPがもっているIDとパスワードの対応表が出てくるとかそういう類なのでしょうか?
関連するQ&A
- BASIC認証のパスワードについて
私は所属しているサークルのHP作成を担当しています。 会員用ページにはBASIC認証を使用しているのですが、 ある会員の方から「IDとパスワードに文字制限がついてうまくはいれません」とメールをいただきました。 IDの文字数は8文字パスワードは12文字です。 ちなみに私自身のパソコンからははいれました。 どなたか助言をお願いします。
- ベストアンサー
- ネットワーク
- 【PHPで認証】パスワードの暗号化は無意味では??
PHPにて会員専用ページを作りたいと考えているものです。 パスワードは暗号化すれば安全…と思っていました。しかしよく考えると暗号化されたパスワードをハッカーが盗んで自分のPCのCookieに入れたらなりすましが可能ではないのか?ということに気づきました。正規のユーザーもログイン後は暗号化パスワードをサーバーに渡してページごとに認証しているわけですから。 パスワードの暗号化は本当に意味があるのでしょうか? 暗号化されたパスワードは盗まれても問題ないのでしょうか? お詳しい方、よろしくお願いいたします。
- ベストアンサー
- PHP
- 携帯+PC向けHPでパスワード認証させたい
サークルのメンバーのみがパスワードを用いて見ることが出来るHPを作ろうと思っています。携帯メインで、PCからも閲覧出来るとなお良いです。 自分で探したのは http://pw.nw.cx/ という無料認証ページ。ここはパスワードを入れると設定したURLに飛ぶようになっているのですが認証ページを経由せずにURLを直接入力すればログインできてしまうのです←これじゃあ意味ないです・・・。 現在biglobeを利用しており、biglobeのサービスで「便利パック」という月額315円でIDとパスワードで認証することが出来ます。これだとprivateというフォルダを作り、その中のファイル全てが認証の対象になります。しかしお金がかかるのでためらっています。 出来ればこの「便利パック」と同じもので無料のサービスを探しています。
- 締切済み
- レンタルサーバ・ASP
- Basic認証について
自分のホームページにBasic認証を設定し、IDとパスワードによるセキュリティ環境を設定しましたが、このシステムによる認証の安全性はどの程度なのでしょうか? ネットワークに詳しい人ならば簡単に入り込めてしまうのでしょうか? 教えて下さい。
- ベストアンサー
- ネットワーク
- ブラウザのパスワードの同期は安全ですか?
ChromeやFirefoxなどのブラウザにログインすると、ブラウザに登録されているいろいろなサイトのIDとパスワードの情報が、いろいろな端末間で同期できるようなのですが、安全なのかどうかがよくわからないので、いままで一度も使ったこと(ブラウザにログインしたこと)がありませんでした。 ですが、サイトのIDとパスワードを新規に追加するときに、端末ごとにその登録を繰りかえすことが面倒に感じるようになりました。 そこで、ブラウザにログインしてサイトのIDとパスワードのみを(その他の情報は同期させない)端末間で同期するようにしようと思いました。 サイトのIDとパスワードが漏洩したり、漏洩によって被害を受けたりするリスクはどの程度なのか、ネットで調べても今のところ被害はまったく出ていないようなのですが、サーバー上にアップロードされたIDやパスワードは強力に暗号化されていると思うので、それほど心配する必要はないでしょうか?
- ベストアンサー
- ブラウザ
- ルータに設定した認証パスワードは読み出しできますか?
変な質問タイトルですが ISDNダイヤルアップルータを使ってOCNからインターネットを使っていました。今回ADSLに乗り換えることになりADSLルータに認証情報を設定しようとしていたのですが、OCNから来ていた、認証IDが記載された書類を紛失してしまっていました。 ISDNルータにログインして認証IDは判りますが、認証パスワードは ****になっていますのでこれを読み出す方法はありますでしょうか? よろしくお願いいたします
- ベストアンサー
- その他(PCパーツ・周辺機器)
- 正しいパスワードなのに入っていけない
とあるサイトでパスワードとIDを入力しないと入れないコンテンツがあり、管理人さんから教えてもらったパスワードとIDを入力しました。 ですが、何度やっても入っていけません。 使っているブラウザはIE7で、「Please input your ID and PASSWORD のサーバー」 「警告: このサーバーは、ユーザー名とパスワードを安全ではない方法で送信することを要求しています (安全な接続を使わない基本的な認証)。」とでます。 パスワードとユーザー名を入力しましたが、正しいはずなのに入っていけず、同じように入力しなおして3度目に 「Authorization Required」と表示されるページになってしまいます。 インターネットオプションなどの設定が悪いのかと思い、素人考えでクッキーや一時ファイルの削除などしてみましたがダメでした。 改善策はあるのでしょうか?
- 締切済み
- ネットトラブル
- ID パスワード 暗証番号 認証番号 …でもね…思ったこと
金融機関は インターネットなど 今昔、様変わりしました。 40代主婦の私でさえ イーバンク ジャパネットバンクをはじめとして、インターネットで 振り込みをしたりしています。 通帳と印鑑のみじゃないです。 いえ、通帳と印鑑が存在しないんです。 ID、パスワード 暗証番号 認証番号 コークン…。 安全のためにこんなに しょっちゅうパスワードを変更しているし。 安全のために パスワード等は 私の記憶の中にしかないし。 私が現在のようにしっかりしていて 認知症にならなければ 何も問題ないのですが、 もし、いつの間にか 認知症になって 暗証番号等 あるいはその隠し場所を忘れてしまったら? それから もし、私が突然死んでしまったら? 配偶者や子供に遺産として相続するのに 子供達は きっと 私の お金を 受け取れず 放置せざるを得ないんでしょうねえ。 いえ 通帳印鑑という見ただけで わかりやすいモノがないために 貯蓄としての存在すら気が付かないかもしれない。
- ベストアンサー
- 防犯・セキュリティ
- メールでパスワードを送りたい
とあるIDとパスワードを複数の人に送ります。 一番良いのは郵送だと思いますが、それ以外で相手に伝える方法はどういったものがありますか? どんな方法でも100%はないのはわかるのですが、そのなかで比較的安全側なのはどの方法しょうか? ・メール本文に書く…これは一番ダメっぽい。 ・ワードやエクセルに書いてパスワードをかける…フリーソフトで簡単に分かりそう。 ・テキストをzipにしてパスワード…ワードやエクセルよりは良いみたいだけど… ・PDFにしてパスワード…ワードや(略)そもそもPDF持ってない… ・FAX…相手がFAX持ってない、電話回線もない(光回線+携帯)と送れない ぱっと思いついたのは上記の方法です。 これ以外で送る方法はなにがあるでしょうか? 凄腕ハッカーに狙いをつけられている(?)極秘文書を送るのではなく、 レンタルサーバにベーシック認証つけてみた。旅行の写真をその中に入れたから見てね。 ID、PWはこれです♪くらいの機密度なので、わざわざ郵送するのもなんだかなあと思って 質問しました。 当初の予定はワードにURLとID、PWを記入→パスワードかける。 メール本文に「添付ファイルにURLとか書いてます。添付ファイルのパスワードは私の携帯番号9ケタです」 こんな感じで送ろうかと思っていました。
- 締切済み
- その他(メールサービス・ソフト)
お礼
ありがとうございます。 IDなどを盗み見されたりといった所から徐々に破られていきそうな印象を受けました。IDさえ分かればひたすらパスワードをランダムに打ち込んでいけば、いずれ、破ることもできそうですね。なりすましは意外に近い人のほうがやる可能性は高そうですね。またなりすましのプロとかも業界には存在しそうですね。ただ、サークル活動くらいでしたら、IDとパスワードでSSLになっていれば、十分安全な気がしてきました。業務用のサーバー認証はきっと全然違う方法をとっているのでしょうね。 非常に参考になりました。ありがとうございます。
補足
質問の主旨から外れてしまいますが、気になって仕方がないので、お伺いいたします。最近VPNという言葉をよく効きます。会社員の方が自宅から会社の内部情報を安全に参照できて非常に便利だという話をききました。サーバー内の情報を本当に安全にするには、VPNのような技術を使うしかないのでしょうか。最近は認証キーの情報の入ったUSBフラッシュメモリを差し込んだうえ、IDとパスワードを入力しないとアクセスできないようにすることができるなんて話も聞きます。一体、どれくらいやれば安全なのでしょうか?アクセスログは不正アクセスがあったことに気がつき、パスワードを変更できるという点しか安全性を高めている気がしないのです。 何度も何度もお伺いしてしまい大変恐縮です。