にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

セキュリティのアレ(6)~日本年金機構情報漏えい事件でも悪用された「盲点」とは~を見てみた&誕生日から最強のパスワード作ってみた!

どもどもにゃんたくです。

 

題名長いわ!!!!!

 

 

さてさて節分もおわり、段々とセキュリティ月間っぽくなってきましたね・・・(ん?)

 

そんなセキュリティ月間の最初に、この『見てみた』は良かったんじゃないでしょうか!

今回はこちら、第6回セキュリティのアレ、『日本年金機構情報漏えい事件でも悪用された「盲点」とは』を見てみました。

www.atmarkit.co.jp

 

日本年金機構の問題、昨年のセキュリティニュースではトップの注目度だったのではないでしょうか。

 

標的型メール攻撃という言葉も一気に浸透しましたよね~~~~

ちなみに現在は標的型メール攻撃よりもばらまき型メールの方が多いですね。

知ったかぶりでもいいので、「こんにちは!!!」から文章が始まるメールはアカン!ってことだけでも知っててください。もしくは広めておいてください( ´ー`)フゥー...

 

さて今回の内容ですが、この年金機構の事件の原因の1つでもある、

 

ローカル管理者権限のID、パスが同じだった

 

という問題から感染が拡大したことについてでした。

 

決して脆弱性を使った攻撃ではないんですよね。

むしろ超アナログな部分が狙われたということです。

 

この対策、会社でいう僕達のような一般社員ではどうすることもできません。

対策案として動画では、「上司にパスワードどうなってますか~」なんて聞いてみるってなってましたね。

 

実際できます?

挙句に言ったはいいけど、上司から「君のパスワードはしっかりしているのかな?」なんて言われてしまいちょっと焦るなんてこともあるかもしれません。

 

というわけで、結局話はここにもどってくるのですが、

 

・外部から推測可能なパスワードにしない

 

はかならずしましょう・・・・・・

 

ってここで僕ふと思ったのですが、外部から推測しにくいパスワードづくりって割りと限界があるんじゃないかなって思ったんです。

そりゃパスワードを作成してくれるツールは山程あるのでそれを使えば割りと強度なものは作れます。

でもそれって覚えられます?

設定したパスワードをメモに書いて保管しておくことも大事ですけど、たまたま必要になったときにそのメモ見れなかったらどうします?

 

というわけで、題名に戻ってまいりました。

人間誰しも忘れない数字ってあるじゃないですか、

そう、『誕生日』です。

 

誕生日を使って、忘れないパスワードが作れてなおかつ強固なパスワードが作れれば最高なんじゃないか!!!

 

って思ったわけですヾ(*´∀`*)ノ

 

(ヾノ・∀・`)ムリムリ

 

(ヾノ・∀・`)ナイナイ

 

というわけでちょーっと試してみました。

ただ今回のこの内容は実際参考になるか・・・は定かでは無いのであくまでも楽しむ感じで見てくれると嬉しいです。

 

まず用意するのはこのページ

パスワードチェッカー|【カスペルスキー×ウォッチドッグス】

f:id:mkt_eva:20160206024747p:plain

いわゆる「パスワードチェッカー」ってやつです。

マイクロソフトがやってるパスワードチェッかー(https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx)もいいのですがなんか8文字以上入れさえすれば普通というランクになってしまうので今回はこちらのページで楽しみながらやってみます。ちなみにいれたパスワードがどれくらいの時間で解析されるかを出してくれます。

 

では、誕生日・・・自分の誕生日・・・って考えたんですけどそれじゃここには載せられないので、数字にしたときに簡単な誕生日にしようと思います。ちなみに誕生日は(西暦・月・日)の8桁で構成されるものとします。

 

選ばれたのは~~~(;´Д`)ハァハァ

 

「2000年2月22日」生まれの方です!おめでとうございます!!!\(^o^)/

 

これ、少し理由があって、数字8桁にした時に「20000222」って0と2だけで構成されていてなおかつ4文字ずつという非常に面白い数字列だと思ったからです。えーっと実際だと15歳?になる歳なのかな?(あやふや)

 

ではこの誕生日から強固なパスワードを作ってみよう!!!

 

まずは「20000222」を試してみましょう!

 

f:id:mkt_eva:20160206030021p:plain

 

1秒かーいっ( ゚д゚ )!!!!!!!!!!!!!

つまり数字8桁はやっぱりアカンということです。

 

つぎ!

今度は数字の0をアルファベットのオーの小文字に変換した8桁「2oooo22」(数字3個、英小文字5個)

を試してみましょう!

 

f:id:mkt_eva:20160206030544p:plain

 

5秒伸びた・・・これで安心・・・なわけあるかーい( ゚д゚ )!!!!!!!!!!

 

うーん(;´Д`)

やっぱもっと考えなければ・・・

 

というわけで、「 2000年 / 2月 / 22日 」というように3つの枠に分けてみます。

そして、2月は英語で『February』ということも使ってみますか。…でもなかなかスペル思い出すのもアレなので、『February』の先頭2文字『Fe』だけならどんなことでも忘れることは無いでしょう!これを使うことにします。

 

というわけで次に試してみる8桁は「2000Fe22」(数字6個、英小文字1個、英大文字1個)です。どうかなどうかな~?

 

f:id:mkt_eva:20160206031733p:plain

 

おおお!これは少し時間が伸びましたね!!!

 

でもまだちょーっと不安。

数字を減らして数字を英語大文字に変換してみましょう!

というわけで数字0をアルファベット大文字オーに変換してみます。

「2OOOFe22」(数字3個、英小文字1個、英大文字4個)を試してみましょ~!

 

f:id:mkt_eva:20160206032436p:plain

 

おおお!!!!これはわりといいんじゃないでしょうか!流石に4日も割れなければ攻撃者も諦めてくれるはず・・・・

 

でもですよ。

4日もあれば割れてしまうんですよこのパスワード・・・・

 

うーん(;´д`)トホホ…

ここまでか・・・・

 

と、ふと思ったんです。

こういうパスワードを解析しようとするときって基本英語の単語とか数字の羅列から探してみて当てはまればラッキー!ってことで攻撃者がログインするんですよね。(大体)

 

んじゃ、日本語使えばいいじゃんって思ったんです。

 

そこで思いついたのが、この「2000年」。

これを日本語でいうと「にせんねん」。。。「2sennnenn」。。。うん、なんかいけそうな気がしてきた。

 

というわけで、「2senFe22」(数字3個、英小文字4個、英大文字1個)でやってみましょう!!!

 

f:id:mkt_eva:20160206033349p:plain

 

おおおお!!!!!!!!!!!!!!!!!!!!!!!(>ω<)

これなら大丈夫だろ!!!!!!・・・・・でも2年か・・・・恐ろしい

ストーカーなら2年かけてでもパスワード割ってきそう・・・・

 

ものは試しだ!!!

こうなったら反転してやるぜ!!!!

ということで本日ラストバトル(?)をこいつに賭けてみました。

「22eFnes2」(数字3個、英小文字4個、英大文字1個)

そうです、左右反転してみました・・・・・いけ!!!!!ラスト!!!!!

 

f:id:mkt_eva:20160206033740p:plain

 

 はぁ????????????????Σ(´∀`;)

 

ってか・・・v(´∀`*v)ピース!!!!!!!!!!!!!

 

 

もう大丈夫だろ笑

ということで本日のまとめです。

 

・誕生日からでも十分な強度のパスワードが作れる(にゃんたく調べ)

 

・そのためには、3種類の文字種を使うことをオススメする

 

いやーなんか今日はとっても楽しかったです笑

自分が楽しんでましたヾ(*´∀`*)ノキャッキャ

 

ただ今回のは正式な調査ではないので決しておすすめはできませんが、パスワードを考える際の参考にしてくれればと思います。

 

強固なパスワードで攻撃から身を守りましょう!!!

 

 

本日もここまで読んでいただきありがとうございました。

 

ではでは(^.^)/~~~