パスワード盗難防止ガイド(6)
パスワード盗難防止ガイド(1)前回まで四回をかけて「設定ファイルを盗まれる」と「アカウントを破られる」の関係について書いてきました。「『設定ファイルを盗まれる』と『アカウントを破られる』は必ずしも同値ではない」と。クライアントサイドプログラムでは基本的に「同値」ですが、それにしても「設定ファイルを盗んだ後アカウントを破るための難しさはアプリ次第で変わる」と。
パスワード盗難防止ガイド(2)
パスワード盗難防止ガイド(3)
パスワード盗難防止ガイド(4)
パスワード盗難防止ガイド(5)
設定ファイルを盗んだ後アカウントを破るための難しさはアプリ次第で変わるアプリがパスワードを複数入力関数に代入し設定ファイルに記録するならば、「設定ファイル内の文字列」を「パスワード」に戻すことは難しい。「不可能」ではないが「難しい」。クライアントサイドプログラムである以上、パスワードは設定され送信される課程で必ず平文となる時期がある。一つは送信時。送信時には、アプリは必ず平文のパスワードを認識している。
そうでなければFFFTPは「abcde」をFTPサーバーに送信することが出来ないのだから。故に、「アプリがパスワードを一入力関数に代入しているか複数入力関数に代入しているか」というのは例えば「パケットモニタリングに関する耐性」という点では差がない。
※参考もう一つ、「設定され送信される課程」の中で「パスワードが平文である瞬間」というのが存在します。「パスワードがユーザーによって打たれる瞬間」。キーボードで打たれる全ての文字列・・・パスワードを含む・・・は、例えばキーロガーによって盗まれうる。
CyberAcademy内「LANの通信傍受」
※参考この話は、主に「パスワードを複数入力関数に代入し記録するアプリを使っている人」にとって大きな意味を持つでしょう。
Insider's Computer Dictionary内「キーロガー」
- パスワードをアプリに記録させ管理する
設定ファイルを盗まれても即アカウントを破られる訳ではない。原理的に設定ファイル内の文字列は必ず平文のパスワードに解読可能だが、その難易度は決して低くない。
キーロガーによってパスワードを盗まれうるタイミングは、アプリにパスワードを記録させる(ために平文のパスワードを入力する)瞬間のみ。 - パスワードをアプリに記録させず毎回入力する
設定ファイルを盗まれてもアカウントを破られることはない。
キーロガーによってパスワードを盗まれうるタイミングは、アプリを使う時(例えばFTPクライアントソフトの場合なら、FTPサーバーにログインする度)。
「キーロガーを仕掛ける」と言っても、クラッカーが行うべきことは「キーロガーというプログラムをターゲットマシン上で実行させること」だけではない。実行されたキーロガープログラムは、必ず何らかの方法でキーログをクラッカーの元に届けなくてはいけない。「ターゲット宅のマシン」という話で言うなら、それは多くの場合ネットワーク経由です。故に、「キーロガーを防ぐ」という場合に気を付けることは
- 自分のマシン上でキーロガーを実行させない
- キーロガーがクラッカーにログを届けることを遮断する
パスワード盗難防止ガイド(7)
TrackBack
この記事へのトラックバック