Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
Password security 2
Next
Download to read offline and view in fullscreen.

1

Share

Download to read offline

[Sqlap]リーダブルパスワード

Download to read offline

2014年5月28日 SQLアンチパターン読書会「リーダブルパスワード」の回で発表したスライド資料です。

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

[Sqlap]リーダブルパスワード

  1. 1. SQLアンチパターン 19章 リーダブルパスワード (読み取り可能パスワード)
  2. 2. Name : Naoya ISHII Twitter :@naopi TAG: SIer(), JAVA, Father, Frontale supporter
  3. 3. アジェンダ 目的  パスワードのリカバリーとリセットを行う アンチパターン  パスワードを平文(復号可能な形)で格納する 解決策  ソルトをつけてパスワードハッシュを格納する
  4. 4. パスワードのリカバリとリセットを行う とある認証付きシステムを利用しているユーザが パスワードを忘れてしまった。 利用ユーザ自身でパスワードの再通知やリセットを行えるよう にしたい
  5. 5. アンチパターン パスワードを平文で格納する
  6. 6. パスワードの格納で想定されるリスク ● ネットワークパケット上のSQL文を傍受することが容易に行わ れる。 ● データベースサーバやアプリケーションログのSQLクエリログ を探しだされてしまう。 ● データベースのバックアップファイルやバックアップメディアか らデータを読み込まれてしまう。
  7. 7. ID、パスワードが正しければ1以上!! 〃 が無い(誤り)なら0 IDが存在しなくても0!!! SELECT COUNT(*) as password_mathes FROM Account WHERE account_id = '1234' AND password = 'opensesame' ; パスワードの認証時の問題
  8. 8. 認証の失敗した原因が パスワードの誤りなのか? ID自体が存在しないのか? (´・ω・`)ワカラン
  9. 9. ログインを複数失敗したらロックをかけたい パスワードの誤りならロックかける けど? (´・ω・`)ドッチヤネン
  10. 10. パスワードの認証時の問題 SELECT CASE WHEN password = 'opensesame'   THEN 1 ELSE 0 END as password_mathes FROM Account WHERE account_id = '1234'; 指定したpasswordがあれば1を、無い(誤り)であれば0 を、アカウントが存在しなければNotFoundを返すSQL
  11. 11. ログインエラーのメッセージについて 「ユーザが存在しません」 「パスワードに誤りがあります」 参考:9-3. エラーメッセージからの情報暴露 : https://www.ipa.go. jp/security/awareness/vendor/programmingv1/b09_03.html 「ユーザまたはパスワードに誤りが あります」
  12. 12. パスワードを電子メールで送信する From: deamon To: bill@example.com Subject: パスワードのリクエスト いつもお世話に〜〜〜〜 アカウント「bill」の再通知リクエストに回答します。 新しいパスワードは「 xhsyd0ak」です。   よろしく 論外!! メールは傍受される危険性 が非常に高い。
  13. 13. アンチパターンを用いてもいい場合 (平文パスワード格納してもいい場合) ● アプリケーションが外部のサービスにアク セスする (パスワードを内部に持つ) ● イントラネット内で少人数で使う 「そのシステム、ウチ(外部)でも使えるようにしてよ」案件
  14. 14. 解決策 ソルトを付けてパスワードハッシュを格納す る ハッシュ関数  入力内容を識別不可能なハッシュと呼ばれる文字列に 変換する SHA2('xyzzy', 256) = ‘1184828a00……….’
  15. 15. vsレインボークラック 速いCPUを使うことによって総当たりでハッシュ値の 検索をかけるよりもさらに高速にパスワードの解読を 行う方法がある。 レインボーテーブルの参照
  16. 16. レインボーテーブル ハッシュ値の逆引き辞書 そこから高速にパスワードを求める
  17. 17. 解決策 暗号化前のパスワードにソルトを付ける ソルトあり SHA2(‘password’ || ‘G0y6cf3’, 256) = ‘0c4dd4eea2d53306a0d11e31e1a28cf339ec6113’ ソルト(赤字)の文字列はパスワードごとに用意し攻撃者の用意 するレインボーテーブルを複雑化させる。
  18. 18. 解決策 SQLからパスワードを隠す ログファイルの漏洩 SQL上では平文として利用せずに アプリケーションでハッシュ計算 ネットワークパケットの傍受 セキュアHTTP(HTTPS)の利用
  19. 19. リカバリーではなくリセットする 一時パスワードを電子メールで送付  記載しているパスワードは短時間で無効化する  初回ログイン時に強制的に更新させる 一意のトークンを生成し送付する  そのトークンをキー(識別子)としてパスワード管理テーブルのアカウ ントと紐付ける
  20. 20. さいごに 教諭になりすまし成績など入手 クラス編成をLINEで流す 滋賀の高校 県教委と学校によると、男子生徒は当時2年だった2月、卒業式の準備でほかの生徒が教諭の パソコンを使用した際に メモされたパスワードと画面表示されたIDを暗記 。3月中旬にコンピュー ター教室のパソコンから校務用サーバーにアクセスし、入手した情報をUSBメモリーに保存し た。 つい最近こんな事件も・・・・
  21. 21. 「あなたが読み取れるものは、 攻撃者にも読み取れます」 おしまい
  • tomoakiuchida311

    May. 29, 2014

2014年5月28日 SQLアンチパターン読書会「リーダブルパスワード」の回で発表したスライド資料です。

Views

Total views

1,004

On Slideshare

0

From embeds

0

Number of embeds

242

Actions

Downloads

5

Shares

0

Comments

0

Likes

1

×