このページは、2019年3月に保存されたアーカイブです。最新の内容ではない場合がありますのでご注意ください

Mu犯罪社会学
〜強いパスワードを作るには?〜
05/8/18開講 マジメ・学問度★★★★★  ギャグ・ムダ度★----



約5ヶ月半ぶりの更新となりました。
本当は、イベントやテスト鯖の記録などもあるのですが、横着して
画像を1枚も使わなくてもいいもの かつ
実用的な話題 を提供したいと思います^^;
イベント記録などはもう少しお待ちください。


今回の課題:強いパスワードを作るには?

最近、サイバーテロやらハッキングやらが盛んに言われており、Muでも被害報告が
多数出ているようです。そこで、運営チームは8〜10文字のパスワードを月1回は変更
するように薦めていますが、なかなか考えるの面倒ですよね?
そこで、楽しく考えられ、かつ強いパスワードは何かを探ってみたいと思います。


1.長いパスワードの有効性
ハッカーがパスワードを破る方法のうちの1つに、ブルートフォースという方法があります。
これは、手当たり次第にaaa、aab、aac...というように文字列を試して
パスワードを探り当てるやり方です。
これで、パスワードを破るまで最長でどれくらい時間がかかるかを、パスワードの
長さと種類によって計算してみます。
なお、この際ハッカーは1つずつ手打ちして調べているはずがなく、例えば1秒間に10万語
という速さで、専用ツールを使っているらしいです・・。怖いですねー。


8文字(英語小文字のみ26語で作る) 208827064576通り→24日
8文字(小文字・大文字・数字の62語で作る) (以下あまりに大きい数字につき省略)→69.2年

10文字(小文字のみ) →44.7年
10文字(小文字・大文字・数字)→26万5957年
10文字(小文字・大文字・数字・記号計94語で作る)→1706万7683年

※1年=365.25日=31557600秒で想定

この通り、10文字で小文字・大文字・数字を混ぜると、いくらハッカーが1秒間に10万語
ずつ検索しても、我々の生きてるうちに解析される確率はきわめて低い
ということが解ります。反面、楽だからといって小文字で8文字だけでやってしまうと
どんなに運が良くても1ヶ月以内で破られてしまいます。


また、記号を使うことができれば、威力はさらにケタ違いに上がるということが解ります。
ここで言う記号は、unixで使用できる半角特殊文字32文字(!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~)
を想定しています。
しかし問題は・・・ Muのパスワードには記号が使えません!!


まあ、10文字(小文字・大文字・数字)だけでも十分に見えますが、ハッカーのツールも
日増しに進歩しており、もしかしたら1秒間に1000万語調べてるかもしれません。
そしたら、2659年かー・・。記号つきだとまだ170678年ですね。
記号が使えれば、ハッカーのツールが格段に進歩しても、余裕で対応できそうなので
ぜひ、Muのパスワードにも記号が使えるようになってもらいたいものです。
ハッキング対策にどうですか? 運営さん。


2.弱いパスワードとは?
とは言っても、ハッカーはこんな時間のかかる方法を使わないかもしれません。
例えば、銀行の暗証番号を破る泥棒は、誕生日とか電話番号とか推測しやすい
ものから試すという話があります。
それと同じように、ハッカーも、本人の名前やID、キャラクター名など
本人に関係ありそうなものから調べるかもしれません。
さらに、辞書に載っている単語だと覚えやすいので、ハッカーもそこに
目をつけるかもしれません。
8〜10文字で辞書に載っている単語は限られているので、それだけだと
1秒で破られるかもしれませんね。

最近は、私達のセキュリティの知識もupしており、例えば
山田花子なら、子音だけとってymdhnkにしたり、キーボードの隣同士のキーを
並べてaSDFghjkにしたり、いろいろ考えるものですが
そういう本人に関係あるものや、容易に考え付くようなものは
ハッカーもよく解っています。あっちもプロですから。


3.強いパスワードの作成例

ということで、強いパスワードとは
・できるだけ10文字の大文字・小文字・数字を使用する
・辞書にある単語は単独では使わない
・本人に関係あるものは使わない
・ハッカーに推測されにくいもの

ということになります。そして、一番重要なのは
・本人が思い出しやすい

では、これらの条件を満たすパスワードとは一体何なんでしょうか?


作成例1:辞書に載っている単語、略語を2つ以上繋ぐ
辞書に載っていない単語は、強い反面、覚えにくい。
そこで、覚えやすいものを2つ以上繋げてしまえば、覚えやすく強いものができるのでは
ないかということです。
その時、本人と直接関係ある単語は使わないほうがいいでしょう。

Tiger8pink(2つの単語を数字で繋いだだけ。これじゃ弱いか?)
AHOnoWin98(日本語もまぜてみました)
18HeNeArXe(18族元素を適当に並べただけ。打ちにくい・・^^;)


作成例2:好きな文章や歌詞を抜き出す
これはお手軽。ただ、「私はこれが好き!」と公言しているものはやめたほうがいい。
これだと数字が入らない場合も多いので、そこは語呂合わせで何とかねじこむ

IcnlbYgafm( I could not look back You'd gone away from me 〜♪)
8cna2dWhwh(8zi chodo no azusa 2gou de Watasi ha watasi ha あなたから〜旅立ちます〜♪)


作成例3:自分には意味のあるが、一般にはほとんど意味の通らない単語
方言とか、仲間内にしか通じないような略語とか、マニアックな単語を
アレンジして使ってみよう!

ma1doOki2(まいど〜おおきに〜 てか、これもはや全国区だよね・・)
Kmh42Onodaクモハ42小野田線  鉄道好きと地元民以外には何が何やら)


作成例4:語呂合わせで遊ぶ
ネオンは大体こんな感じで作ってます。まず言葉を決め、それに合うように
短い英単語や略語、大文字小文字を組み合わせ、語呂合わせで10文字作るのです。
作れない場合は別の言葉を考える(マテ
例えば・・

NeNO5box(ネオンの小箱 8文字しかないが・・^^;)
9ndnSTRONG(クンドンの杖 クンドン強ぇ〜 ・・・くだらないシャレですが)
vCHI9white(愛地球博 愛はハートマークでv、博は白に変えてwhite、あとは語呂合わせ)
MUG11tobu1(MU奇蹟の大地 え?なぜこれがそう読めるかって?
 「MU奇蹟野田いち」に変換して、奇蹟といえば巨人(G)が11ゲーム差を返した
 メークミラクル、野田といえば東武野田線 よってこうなりました^^;
 こういう無理やりのが、考えていて楽しいんですよ。謎)


ただし、ここに書いてあるパスワード例をそっくりそのまま使用しないでください!
公開された時点で、弱いパスワードになってしまいます。


4.さらに気をつけるべきこと
さて、ここまでで推測されにくいパスワードを作れば、ハッキングは25%は防いだも
同然でしょう!!
・・え? まだ25%なんですか?

というのは、スパイウェアやウィルスと組み合わせてハッキングする手口があるからです。
(そういえば 原発の機密情報が盗まれた というニュースもあったなぁ・・)
コンピュータを勝手に覗いて、運営からの登録情報確認メールを盗み読まれて
しまったら、一発でパスワードがバレます。
また、パスワードを忘れないようにメモ帳に記録してる場合も同様です。
なので、パスワード情報はPC内部に残さないことが重要になります。
ネオンの場合は、登録確認メールのあて先をWebメールにして、読んだらすぐに
削除しています。(これが安全かどうかはよく解りません)

また、パスワードはメモしない! とよく言われますが、忘れてしまっては
どうにもならないので、メモするならせめて紙やケータイにメモすべきです。
そうすれば、近親者や泥棒がそれを盗み読まない限り大丈夫でしょう。

これで、ハッキングの被害は50%防げます!!


残りの50%は、スパイウェアを寄せ付けない対策とかもありますが
運営のサーバーに侵入されるということがあるので、こうなっては
我々には何の対策もできません。
(倉庫のロックを外されたというのは、これじゃないと説明がつきません)
サーバーに侵入されないよう、運営チームはいっそうの取締りをするとともに
そういうハッキングの温床になっている、RMT(リアルマネートレード)に関しても
これからもっと本格的に取り締まってもらいたいものです。


参考サイト: http://www.yone.ac.jp/shokuin/miyake/passwd.html

このページは、2019年3月に保存されたアーカイブです。最新の内容ではない場合がありますのでご注意ください