Webサイト制作のワークショップ」のメモです。

様々なアカウントを管理するために 1Password.app を使う。パスワードは、自分で覚えることができて手入力できるようなものは使用しない。「N2hmvfQJTXtwLMrhtkHqcpZ;vVvj/m6t」のように強固なパスワードを使い、手入力せずに 1Password から自動入力かコピペしてログインする。

enjoy!

1Password

強固なパスワードを生成して、安全に管理するためのアプリ。ブラウザの機能拡張として連携できるので、ブラウザ上で 1Password を呼び出すことができる。

1Password でできること。

  • 強固なパスワードを生成する
  • ブラウザで開いてるページにあわせて、ユーザー名/パスワードを呼び出してログインする
  • iCloud を介して Mac と iOS でパスワードを同期する
  • メモや画像を保存する
  • 免許証やパスポート、銀行口座などの情報を管理する
  • メールアカウント、データベース、サーバー、ライセンスなどの情報を管理する

アカウントの乗っ取り

アカウント乗っ取りに使われる手段のひとつに、総当たり攻撃(ブルートフォースアタック Brute-force attack)がある。
総当たり攻撃 – Wikipedia

4桁のパスワードだとしたら、0〜9、a〜zまでをすべて総当りに試していく方法。

  • 0001|0002|…|9999
  • aaaa|aaab|aaac|…|zzzz
  • aaa1|aaa2|aaa3|…|zzz9

8桁の大小英数字および記号を含むパスワードだとしても、数十日でクラックされる計算となる。16〜32文字など、可能な限り長いパスワードを生成する。

最近のやり口が巧妙なのは、たとえば Twitter のアカウントが乗っ取られて「このアカウントを乗っ取ったぜ!うへへ!」と投稿されればすぐにわかり対策を取れるが、実はすでに乗っ取られていて、そのパスワードを元に他のアカウントへの乗っ取りを試されているかも知れない点。すぐに被害にはあわないが、より大きな被害へとつながる可能性がある。

アカウントのゾンビ化

パスワードの使い回しやパターン化してはいけない。

  • Facebook のパスワード|password@facebook
  • Twitter のパスワード|password@twitter
  • LINE のパスワード|password@line

このようなパスワードで Twitter のアカウントが乗っ取られた場合、他のアカウントも乗っ取られるのは時間の問題。そうやって本人が乗っ取りに気がついていないゾンビアカウントが潜んでいる。

特に Facebook は、本人が二段階認証を設定するなどどんなにセキュリティを強化していたとしても、その友達のアカウントのいくつかが乗っ取られている場合には、為す術がない。信頼できる連絡先として登録された3人以上の友達の許可でアカウントにログインすることができる仕様のため。

CMSの管理画面

あらゆるWebサイトの管理画面で日常的に総当たり攻撃が行われている。WordPress で構築されたサイトなど、ドメイン名に一定のディレクトリ名を追加すれば、簡単に管理画面にアクセスすることができる。そういった方法で総当たり攻撃を行うロボットからサイトを守るために、いくつかの手法を組み合わせる。

  • 管理画面のURLを変更する|管理画面にアクセスされるのを防ぐ
  • アクセス認証||管理画面にアクセスされるのを防ぐ
  • CAPTCHA|ロボットによる総当たり攻撃を防ぐ
  • 数回ログインを失敗すると数時間アクセスできないようにする|ロボットによる総当たり攻撃を防ぐ

ソーシャルエンジニアリング

パスワードはリアルなやりとりでも盗まれる。ビジネスマナーとして「失礼になるから」ということを悪用している。

過去に実際にあった話で、会社にかかってくるしつこい営業電話をずっと断っていた社長がいた。ある日、社長がいない時間帯にその営業から電話があった。「ケータイが壊れてしまって、社長のケータイ番号がわからなくなってしまったので教えてください」この電話を受けた人は、そういった事情であればと教えてしまった。

このようなビジネスの現場であることを利用したソーシャルエンジニアリングにも十分に気をつける。

こちらの関連記事もあわせてどうぞ!