読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ27春午後1問3 問題解析(2)

広告

※この連載については「はじめに」で注意事項がございますので
 必ず読んでくださいね。

※設問はこちらから

 

f:id:koharuwest:20151225175429p:plain

f:id:koharuwest:20151225175436p:plain

f:id:koharuwest:20151225175439p:plain

f:id:koharuwest:20151225175443p:plain

f:id:koharuwest:20151225175448p:plain

第3話 問題点の調査結果と改善案

図1
問題点ア パスワードの強度が不十分
 数字だけであり、パスワード長が長い
問題点イ パスワードの保存方法が不適切
 ハッシュ化しただけで保存

数字だけだとブルートフォースでやられます。

ハッシュはabcdをハッシュしたら1234
bcdaをハッシュしたら2341
なるほど・・・法則があるな。

なーんて感じで元のデータと比較すれば
ハッシュの方法が推測されてしまうのです。


図2
改善案ア 80種類にする
 最小でも8文字最大で64文字にする

改善案イ ソルトを設定し、SHA256でハッシュ

ソルトはパスワードの後ろとかに毎度違うランダムな数字や文字を
加えます。これによってハッシュ後も毎回変わるため、ハッシュを
推測しにくくします。

 

第4話 暫定再開の検討
 ハッシュ値の保存に必要な領域は何バイト?
 完全再開までは3ヶ月かかる。

 暫定再開の方法
 パスワード攻撃を検知する仕組みを導入。
 
 ただし、不正ログイン会員のパスワードはリセット
 ポイント交換は停止っと。

 

図3
ア 単位時間あたりのアカウントロックされた会員の数でしきい値
イ (b)でしきい値。当該IPアドレスからのアクセス遮断
ウ ア、イでもない単位時間あたりのログイン失敗数のしきい値

ア パスワード総当りや辞書攻撃を防ぐ
イ 同一IPアドレスからのリバースブルートフォースを防ぐ
ウ (C)から行われるパスワード攻撃を防ぐ

 

第5話 本格再開の検討
検知やればいいんじゃね?
いや、危険です。アイウでは検知できないケースがあります。
具体例をお見せしましょう。

図4
ウの条件を1日14000とする
アをかわすため、1IDあたり1日4回
イをかわすため、(C)から攻撃
ウをかわすため、1日7000件の失敗数と+しても
超えない1日5000回の試行回数上限

そうすると・・・

 

ということになります。なので、危ないから暫定のまま。
で、ほかのサイトで使っていないパスワードを設定してもらう
よう注意喚起しよう。

にしのくえすと Presented by にしの 2017