パスワードを忘れた? アカウント作成
2940 story

大学パスワード管理の現状 115

ストーリー by Oliver
目をそむけたくなる 部門より

Anonymous Coward曰く、"京都大学メディアセンターのパスワードの現状についてのレポートがありました。とくとご覧あれ。"

俺の大学ではパスワード変更時にかなり厳しく入力されたパスワード候補をチェックし、/etc/shadowは当然のこと、さらに定期的にJohn等のクラッカーでチェックして警告を受けてもパスワードを変更しなかったユーザはアカウント停止にしているのだが、他の大学はどうだろう。パスワード再発行の回数はたしかに増えるが、それだけの価値があると思っている。普段はリモートからメールチェックだけしていて、停止解除のために身分証明書持参で現れなければいけない連中には不評だが、自業自得だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 簡単なパスワードを登録できた時点で、そのシステムは既に終わっています。今の Linuxや*BSDではPAMの機能 を使えば弱いパスワードは拒否されます。 対NSAレベルではありませんが:-)、辞書攻撃を含めて、素人さん相手には、ほぼ不可能なレベルになります。

    ちなみに辞書攻撃可能なパスワードだと市販PC程度のスペックの マシンでも 100ms程度 で破られます。みんなが考えているよりも簡単です。 そんなに難しくもなく、ちょっとヒントを言うと 去年のCRYPTO2001 ( CRYPTO2002 [iacr.org] ) でのランプセッションの余興に パスワード破りのデモがあったのですが、それを一般のシステムに 応用すればすぐできます。 京都大学のように24000個のパスワードがあっても 全部走査するのも1時間かかりません。

    組み込みシステムのような記憶領域の容量がない場合、PAMのように検査用辞書を持つことができません。その時は、僕の作った遷移状態(マルコフ連鎖)を使った文字列の複雑さを計算する 非常に小さい評価関数 [h2np.net] を試してみてください。かなり良い成績を出すはずです。

    --
    すずきひろのぶ
    • なんじゃこりゃー (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2002年05月05日 16時18分 (#89770)
      % gcc -Wall -O2 -DPEVALTEST peval.c -o peval
      % ./peval
      hironobu
       7  hironobu
      RKEaBh@$
       51  RKEaBh@$
      12345678
      126  12345678
      あと、ドキュメントにはスペルチェッカをかけるようにしてください。
      親コメント
    • 「そーゆーパスワードを選ぶ人」の作るパスワードをはじくための関数ではないのでしょうか?

      むりなものは無理です。 もう一度書きますが、Fool Proofなパスワードセキュリティのシステムではありません。 あくまでも遷移状態からみた文字列の複雑さを計算する非常に小さな評価関数です。 それだけで過大な期待をするのは間違いです。

      Linuxや*BSD、あるいはUNIX系のシステムでパスワードセキュリティのシステムを使うなら、 PAMを組み込むこと が今の所、最良の方法だと言えるでしょう。ただし、それでもすらも完璧だということはありません。

      組み込みシステムのようなメモリや記憶容量のないコンピュータの中に入れる目的なので実行コードも2kbyteを切ります。 そのため 知識データベースを用いていないので、当然、知識による判断はできません。 12345678の入力でも、この函数からの戻り値に対するスレッシュホールドを上げれば対処できますが、たとえば誕生日や電話番号、あるいは学籍番号のようなものは判断できません。

      容量が小さく、計算が速く、何でもできるような 万能なマジックがあると思うのは危険 です。

      --
      すずきひろのぶ
      親コメント
  • by Sato_at_lilo (3250) on 2002年05月05日 8時50分 (#89703) ホームページ 日記
    現状を詳細に、丁寧に、そして淡々と
    公表された勇気に

    拍手を送りたいと思います。

    # 確認もせずに言っていいのか? > 俺
  • もう八年も前の話なのでいまはどうか分かりませんが、私のいた大学では、パスワードについて講習を受けたときに担当教官が「単純なやつにすると解析したら分かっちゃうよ。あとで解析してみようかな。でもって、分かっちゃったヤツにメール送るの。バーカ、って」昔の話なので細かいことは覚えていませんが、その教官がヤケに軽いノリで説明するものだから、教室が笑いにつつまれました。

    でも大学で専門教育を受ける人たちというのは、今後企業などの組織で管理者になる可能性が高いのですから、せめてコンピュータに関係する学部学科では厳しくしておいたほうがいいと思います。

    でも、シャドウパスワードとかあるのですから、解析なんてされるものなのでしょうか。
  • by onoto (8820) on 2002年05月05日 9時14分 (#89708)
    もと記事で試されていた解析方法は、暗号化後のパスワード文字列が一般ユーザ権限で読みとれることを前提にしていると理解しました。

    シャドウパスワードが導入されていてそれが困難な場合であっても、やはりパスワードの単純さや規則性の有無が解析のしやすさに関係するのでしょうか。
    • 今回は「セキュリティに甘いところがあり・・・」
      のくだりがあることから、一般ユーザ権限で読み取れると
      考えて問題ないでしょう。

      shadowにしたからといって暗号強度が上がるわけでもありません。

      では、shadowファイルが読めなかったら?

      アタック手法に掛かる時間的コスト以外の点では
      結局ブルートアタックを行うので、「解析しやすさ」に
      変わりはないと思います。

      ですがアタックの効率は落ちるでしょう。
      お・そ・ら・く。

      なぜか?
      shadowファイルが読めた場合はその暗号化済列をつかって
       パスワード候補→暗号化→shadowの内容とマッチング
      という手順でブルートアタックされると考えられます。

      一方、ファイルが読めなかった場合の
      いくつかあるアタック手法中で効率がよさそうなのは
      一般ユーザ権限からの○○コマンドをスレッド化してアタック
      するものではないかと思います。
      # 深くは突っ込まんでください

      2つの手法を同じ計算資源を使って行ったと考えても
      格段に前者のほうがコストが低いと考えられるので
      アタック効率は落ちると思います。
      親コメント
  • うーん (スコア:2, 参考になる)

    by shado2001 (6090) on 2002年05月05日 11時10分 (#89722) ホームページ 日記
     最近は、あまり中央のシステムを厳しくしても
    意味がなくってちょっと困ってます。
    厳しくしていると、いつのまにか
    端末のPCにリモートアクセス用のISDN-TAとか
    勝手に繋ぎ、そっち経由で使われてしまう事も経験しました。
    (当然パスワードも管理してない)

    元記事の母集団は、全て大学の最下層?学部1年程度だと考えますが
    会社などの組織でこの調子で
    「パスワードが簡単だから使っちゃダメ」とかやると
    後でとんでもないトバッチリが上から振ってくるので
    「ご説明」に本当に苦労します。
    • by nekonyan (3158) on 2002年05月05日 13時41分 (#89751) 日記
      > 元記事の母集団は、全て大学の最下層?学部1年程度だと考えますが

      全学年、大学院まで合わせた合計ですね。
      理系は4回生で殆どが研究室配属になり研究室のパソコンが使えますし、
      学部の方で与えられるメールアドレスで事足りるので
      メディアセンターのPCを利用する機会もぐんと減るということを
      加味していない元記事の分析はやや甘いという印象を受けます。
      親コメント
      • by 335 (4199) on 2002年05月05日 16時24分 (#89773) 日記
        なるほど、大学院からアカウントがかわってしまった
        けど、メディアセンタの端末を使う機会が無いので
        passwdする動機がありません。。

        ということで理系のほうがラボに入り浸っている分・・・
        という言い訳。
        親コメント
  • 昔の話 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2002年05月05日 13時19分 (#89747)
    http://homepage1.nifty.com/zepto/misc/ura_pass.htm [nifty.com]
    某帝国大学はおちゃめ。
    • MLでも (スコア:2, すばらしい洞察)

      by picard (4667) on 2002年05月06日 13時24分 (#89930) 日記
      普通のメールにbyeとか書く人ってたいがい有名コンピュータ企業のアドレスになってるような印象を受けます。
      親コメント
    • 同じページにありますが、
      • 計算機をよく使う人のほうがパスワードを初期パスワードから変更している割合が高い
      • 初期パスワードはランダムだが、パスワードを変更するときに覚えやすくばれやすいパスワードを選ぶ人がけっこういる
      と考えれば、
      普段からコンピュータをよく使っているような人々に限って
      の説明はつきます。

      パスワードを変えるまでの時間間隔と、パスワードの単純さの間に相関があったら面白いと思いますが(既にそういう調査結果はあってもおかしくないので、ぼくが知らないだけかも)、この調査結果だけならまあ、感覚的にはわかっていた状況を実際に調べて確認したという意味合いが強いのでしょう。
      --
      鵜呑みにしてみる?
      親コメント
      • あ。同じページの「これらパスワードファイルを時間に沿って調べると……」以降に、繰り返し調査の結果もまとめてあるようです。

        が、よく考えながら読まないと何を意味しているのかわからないので、具体的なコメントは控えます(「パスワードを忘れた人数」はどうしてわかるんだろう)。親コメント #89700 [srad.jp] の後半部分は、この調査ではパスワード変更の頻度とパスワードの単純さの関係については調べていないという誤解に基づいて書いてしまったので、撤回します。
        --
        鵜呑みにしてみる?
        親コメント
    • 元記事によると、最初に与えられたランダムなパスワードを変更した結果、パスワー ドが解析されたという例が多いようですね。だとすると、使用頻度が高い=ランダム パスワードでは不便、よって変更ということで、理工系学部のパスワードが数多く 解析できたのも頷けるような気がします。

      パスワードって自分で決めないほうが安全なのかもしれない。ドイツだとキャッシュ カードの暗証番号も銀行が決めてくれる。覚えにくくてやっかいだけど、安全と引 き替えならまあ、我慢するしかないか。

      --
      佐藤亮一 in Frankfurt Germany
      親コメント
      • でも初期パスワードをそのまま使っている人たちって えてしてセキュリティー意識が低い場合が多いわけでして。

        京大の場合だとアカウント発行時にアカウント名と初期パスワード の印刷された小さなラベルをもらいます。で、ある文系学生に 「メールアドレス教えて」といったところ、このラベルを そのまま見せられたことがあります。 そのときはすぐにパスワードを変更しろと言っておきましたが、 もしこうやって見せた相手のなかに悪意のある人間がいたら どうなることか。

        この調査には現れていないけど、こういう「パスワードの 管理方法」に関する教育も重要ですよね。

        親コメント
        • メディアセンター開設当初の話しなので今はどうか知りませんが
          そのラベルは学生の見ている前で大学事務の人がラベルの並んだ帳簿をめくって渡してくれるので
          探している間に同じクラスの十数人のパスワードを見ることが出来ました。
          親コメント
      • by noaa (7770) on 2002年05月05日 13時52分 (#89752)
        補足すると、文系の率が低いのは、彼らはUNIXマシンを使わずにWindowsマシンを使っているから。わざわざUNIXのパスを変更しようと思わんからだろう。
        親コメント
    • これ、教職員が2番目ってのも気になりますね。
      他に、日立のシステムエンジニア8人中、ショキパスワ-ドから変更しなのが2人、で、一人が破られてるってのも。あんたプロとちゃうの?
      親コメント
    • >総合人間学部は、まあ分かりますが
      >教職員、工学部・工学研究科、理学部・理学研究科といった
      >普段からコンピュータをよく使っているような人々に限って
      >このザマは・・・何でしょう?

      別にコンピュータを使うからと言って、
      コンピュータのプロではない。使えればいいのだ。
      パスワード?そんなん知ったことない。

      今の学校そんなもんです。
      --


      .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
      I 1 2 B H4[keR. :-)
      親コメント
  • by born (4967) on 2002年05月05日 10時02分 (#89713) ホームページ
    僕の知ってる大学では,
    ID:学籍番号
    初期パスワード:イニシャル+生年月日
    なんてのがありましたよ.

    しかも,ほとんどの学生がパスワード変更せずに使ってた.
    今でも同じ状況なんだろうか?恐ろしい.
    • by moriwaka (89) on 2002年05月05日 16時16分 (#89767) 日記
      私の通っていた某私大総合○×学部では
      ID: 学籍番号
      初期パスワード: 誕生日の月日
      だったので、
      4月になるとお誕生日リスト作って遊んでました(ぉぃ

      実習の一回目でパスワード変更するのでそのままの人は少なかったですが…。
      親コメント
    • by fukapon (4131) on 2002年05月05日 16時18分 (#89771)

       ぁ、それうちか(^^;
       イヤ、うちは生年月日だけだったような気がするな(^^;;

       学籍番号はそれ自体が個人情報だから、メールアカウントとしても利用されるUser IDとして使うべきじゃない、と私は思うんですけどね。メールを送るだけで個人情報をさらすことが強制されるのは良くないと思うのですよ。

       ...学校側にそのように進言したら、「わかってるけどめんどーだから」みたいなことを言われたさ。

       文系キャンパスが多摩動物公園付近にある、某私立大学ね。

      親コメント
    • by nappa (377) on 2002年05月05日 18時02分 (#89785) 日記
      一回、イタい目に遭ってみないと
      わからないんでしょうかねえ。。。

      拙者:「おめー、セキュリティ、どうしてる?」
      友人:「オレ、セキュリティなんか気にしなくてもいいよ」
      拙者:「なぜ?」
      友人:「だって、クラックされても全然平気だし」
      拙者:「はあ?」
      友人:「盗まれるとヤバいようなデータ入ってねえもん」

      ・・・
      親コメント
      • by tix (7637) on 2002年05月06日 13時35分 (#89931) ホームページ
        アカウントを盗まれたら、他の人も書いているように人に迷惑を掛ける可能性がありますし、例えば偽物のメールを送られるという形で盗まれた人が被害に遭う可能性もあります。

        こう考えると、大学から発行されたアカウントを使っていない人もアカウントが盗まれないよう守る必要があります。それでは面倒なので、アカウントが不要な人が自分のアカウントを消すことができる仕組みも必要でしょう。大学に入学したら教養としてコンピュータを扱うだろうから、初めは全員のアカウントが必要になるでしょうが。
        --
        鵜呑みにしてみる?
        親コメント
    • by krias (8799) on 2002年05月05日 23時20分 (#89842)
      私の知っている某私立大では、
      ID:学籍番号
      初期パスワード:名字をアルファベット
      でした。友人からパスワード盗まれた、といわれて聞いてみたらそんな状況。
      盗まれるのが当たり前だって。
      普通にfingerで名前引けたし、セキュリティなんて何も考えてなかっ たんだろうな。ちなみに去年の話です(汗)
      親コメント
  • by ben (3341) on 2002年05月05日 10時05分 (#89714) 日記
    自分の職場(大手電気メーカの社内システム担当)では 1 つの id を複数人で使用しているのでパスワードなんてよっぽどの事がない限り、滅多に変更できません。
    # セキュリティのため、と変更すると怒られる。パスワードの意味なし :-b

    更にどのサブシステムも他のサブシステムにデータ送信用とか言って、その id/passwd を教えてるので、一体どれだけの人が各システムのメイン id/passwd を知っているのか把握しきれてないのが現状です。

    システム管理者の方針なので従うしかないんだけど、物凄く間違ってる気がしてならないのは、考え過ぎなんでしょうか…。社内だから大丈夫って訳ではないですよね?
    • by oku (4610) on 2002年05月05日 14時15分 (#89755) 日記
      • 社内にプライベートなデータは持ち込まない
      • 機密データを扱うアカウントは個人用とは別
      という前提なら間違ってないような気もしますけどね... 業務上の理由で作りかけの代物にアクセスする必要もあるでしょうし (しかも担当者ドロンとか :-) のせいで)。

      # 多分、そういう事ではないんだろうなぁ...

      親コメント
    • by tapon (8548) on 2002年05月06日 8時47分 (#89904) 日記
      ああ,どっか身近で聞いたような話だ.(;_;)

      メイン環境の id/passなし(!) に依存してシステム作っちゃって,
      本番環境では別のセキュリティ管理部署からチェックが入って,泣いたり…
      だいたい今時 rsh なんて使うなって.(T_T)
      親コメント
  • えー、私の大学のイチ学科の新入生は学科指定のノートPC(WinとLinuxのデュアル)を購入する必要があるのですが、当然の事ながら初めてLinuxに触れる生徒がほとんどでして。
    で、この春はいわゆる『Linux授業』があるのですが、まぁrootのパスワードが最初だけ全員同じなのは仕方ないとして、授業中に作るユーザのパスワードが“辞書に載っている”と警告もらう人が多いのなんの。
    また、IDとパスワードを同じにしている人も決して少なくなく。
    銀行のカードなどと違って危険性が具体的に掴みにくい分、セキュリティ意識が薄いのかもしれません。
    学校という空間のせいもあるでしょうけど・・
  • 職場でのお話。 (スコア:1, 参考になる)

    by Anonymous Coward on 2002年05月05日 11時48分 (#89736)

    去年入社した後輩(大学院卒)に「このデータ、ここをこう直しておいて」と頼んでしばらくしたら、「終わりましたが上書きできません」とのこと。作成した当人以外はread onlyなんだからこれは当然。

    「あぁ、上書きは後で俺がやっとくから」と答えると「やっときましょうか?」というお返事。「だって俺のパスワード知らないだろ?」と言ったら「えぇ、パスワードってxxx(デフォルトのパスワード。最初は皆同じで変更しなくても使いつづけられる)じゃないんですか!?」と逆に驚かれた。

    確かにウチの職場は「何でわざわざ変えるの?」という意見が主流派(まったく…)だが、そこで驚くということは、やはり大学でもパスワードっていうものに対してその程度の認識(デフォルトをそのまま使う)しかなかったのか?

    #バレたらアレなんで、一応AC。

  • 京都大学でコレなんですから...

    大学全体で全員共通 + 推測可能な初期パスワードを使っていた例知ってるので、これぐらいでは驚けません。

    Takeshi HASEGAWA

  • Tip & Trick (スコア:1, 参考になる)

    by Anonymous Coward on 2002年05月05日 16時25分 (#89774)
    僕の大学で新人に教えているパスワード作成方法:

    まず、適当な英文を考える。

    次に各単語の一文字目をとる。名詞なら大文字に。

    その順番を逆にする

    で、途中に!やら;やら記号を最低2個いれる。

    という風に。これだと一見ランダムな文字列だけど適度に覚えやすい。パスワード変更の際も一文字目じゃなくて二文字目にすれば別の文を覚えなくてもOK。で、パスワードが書かれた紙が発見されようものなら問答無用でアカウント停止2週間。アカウント/パスワードがないと課題を提出できない1,2年生向け講義が多いから死活問題。
    • Re:Tip & Trick (スコア:2, 参考になる)

      by tty77 (4123) on 2002年05月06日 12時08分 (#89919)
      うちの研究室のパスワード作成方法。

      1. ある単語や単語列を考える。(例:slashdot)
      2. それを入力するとき、ひとつ右のキーで入力。 (d;sjfpy)

      これで一見するとランダムな文字列が生成されます。
      もちろん、ひとつ上、ふたつ右とかでもよいですが。

      タッチタイプができればぜんぜん難しくありませんし、むしろパスワードそのものを憶えていないので、セキュリティは抜群かと?
      親コメント
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...