Chapter13-2　「ユーザ認証とアクセス管理」

# Chapter13-2　「ユーザ認証とアクセス管理」 ## 6/27(日) ###### tags:`基本情報技術` さつき： > ユーザ認証を行うことで、セキュリティを保ちます。 * ユーザ認証の手法 * ユーザIDとパスワード * バイオメトリクス認証 * ワンタイムパスワード * コールバック...遠隔地からサーバへ接続するときに、一旦アクセスして回線をきる。そのあと、サーバ側からコールバックさせることで、アクセス権を確認する方法。 * アクセス権の設定 * ユーザごとに権限を分ける * ソーシャルエンジニアリングに気をつけて > 人の心理的不注意をついて、情報資産を盗み出す行為のこと * 肩越しにパスワードを盗み見たり * ゴミ箱をあさったり... * 様々な不正アクセスの手法 * パスワードリスト攻撃 * ブルートフォース攻撃 > 特定のIDに対して、パスワードを片っ端からすべて試す手法。 * リバースブルートフォース攻撃 > ブルートフォースの逆で、特定のパスワードに対して、ＩＤを片っ端からすべて試す手法。 * レインボー攻撃 * ＳＱＬインジェクション * ＤＮＳキャッシュポイズニング * rootkit（ルートキット） > 不正アクセスに成功したコンピュータに潜伏し、そのコンピュータをリモート制御できるようにするSWの集合体。 * 過去問 * 問１　OK * 問２　これは、知っておいた方がいいのかな。。OK * 問３　OK * 問４　にわ： - 読み込み * ユーザ認証の手法 * ID＋パスワード * バイオメトリクス認証（生体認証） * ワンタイムパスワード * コールバック：遠隔地からサーバにアクセス→回線を切り、サーバ側から再発信（＝コールバック）→アクセス権の確認 * アクセス権の設定 * 読み取り、修正、追加、削除などの権限をユーザーごとに設定する * ソーシャルエンジニアリング * 人の心理的不注意をついて情報資産を盗み出す行為。 * 肩越しにパスワードを盗み見たり（ショルダーハッキング）、身分詐称したり。 * 不正アクセスのいろんな手法 * パスワードリスト攻撃 * どっかのサイトのID・PWリストを入手して他のサイトでログイン試行する * ブルートフォース攻撃 * PWに使用できる文字の組み合わせを片っ端から全て試す * リバースブルートフォース攻撃 * ブルートフォースの逆で、PW固定でIDを片っ端から全組み合わせ試す（複数回失敗によるIDロックがされない） * レインボー攻撃 * ハッシュ力元のパスワードを解析する。 * SQLインジェクション * DBアクセスするサイトに対して、悪意のあるSQLを埋め込んで不正なデータ取得をしたり、改竄する。 * これを防ぐために、 DBアクセスする際はバインドパラメータ設定する * DNSキャッシュポイズニング * DNSのキャッシュを悪用して一時的に偽のドメイン情報を覚えさせ、偽装Webサイトに誘導する。 * rootkit(ルートキット) * 不正アクセスしたコンピュータに潜伏してリモート制御できるようにするソフトの集合体を「rootkit」という。 - 過去問 * 問１：全部かと思った・・・ * あ、「標的型」って点でイに絞られるのか。 * 問２：OK * 問３：OK * 問４：OK ちさと： * ユーザー認証 * システムを利用しようとしている人が誰かを確認するためのもの * バイオメトリクス認証（生体認証） * 指紋や声、眼などを使って認証するやつ * ワンタイムパスワード * 一度限り有効、使い捨てパス * トークンでパスを生成 * コールバック * 遠隔地からサーバへ接続する場合に使う * 一旦アクセスして回線をきる　⇨　サーバ側からコールバックさせる（サーバに登録してある番号がコールバックした相手と一致するかで確認） * アクセス権の設定 * ソーシャルエンジニアリング * 人の心理的不注意をついて情報を盗む * 肩越しにパスワードを盗み見 * ゴミ箱を漁って情報を盗む * 身分詐称してパスワードを聞き出す　など * 不正アクセス * パスワードリスト攻撃 * 何処かのサイトから漏れたIDとパスワードを使って、他のサイトへのログインを手当たり次第に試みる * ブルートフォース攻撃 * 特定のIDに対して、パスワードを片っ端から試す * リバースブルートフォース攻撃 * 上の逆で特定のパス（よく使われるやつ。passwardとか123456とか。。）に対して、IDを片っ端から試す * レインボー攻撃 * ハッシュ値から元のパスワードを割り出す * SQLインジェクション * ユーザー認証するときのIDとパス入れるところにSQL文を打ち込んでDBのデータを不正に取得、改ざん * DNSキャッシュポイズニング * DNSのキャッシュ機能を悪用。DNSに偽のドメイン情報を覚えさせて利用者を違うサイトに誘導 * rootkit * PCに不正アクセスし、リモート制御できるようにするソフトウェアたちのこと * 過去問 * 問１：ウとかエは心理的弱点をついてる訳じゃないってことかな…パッとわからん問題や… * 問２：バイオメトリクスには身体だけじゃなく行動的特徴で認証もある * 問３：おk * 問４：おk まい： * はじめまして。筆記だけの参加になるかもしれませんが、これからよろしくお願いします！ * よろしくお願いします〜！！byちさと * ユーザ認証とアクセス管理 * コンピュータシステムの利用でセキュリティを保つためユーザ認証を行う (ログイン、ログアウト) * 手法 - ユーザIDとパスワード/ いつも忘れてしまう私。大事なものだと定期的に変更が必要だし、様々なパスワードをどうやって管理したらいいんだろう。 - バイオメトリクス認証 - ワンタイムパスワード/ トークンというワンタイムパスワード生成器を使う - コールバック * アクセス権 * 許可された人だけが閲覧できるようにする - 読み取り - 修正 - 追加 - 削除 * これらを、ファイルやディレクトリに対してユーザやユーザのグループごとに指定する * ソーシャルエンジニアリング * コンピュータシステムとは関係ないところで情報資産を盗み出す行為。 * 社員1人1人の意識レベルを改善することが大切。 * 様々な不正アクセス - パスワードリスト攻撃 - ブルートフォース攻撃/ 特定のIDに対して、片っ端からパスワードの文字の組み合わせを試す - リバースブルートフォース攻撃/ 特定のパスワードに対して、IDを片っ端から試す。よく使われるパスワードが狙われやすい。対策→何度もパスワードを間違えるとそのIDはロックされる。 - レインボー攻撃/ 入手したハッシュ値から元の文字列を推測 - SQLインジェクション/ 問い合わせなどで悪意あるSQL文を埋め込み、データベースを改ざん - DNSキャッシュポイズニング/ DNSのキャッシュ機能を悪用して偽装ウェブサイトへ誘導したりする。 * DNSとは？ Domain Name System 「192.168.1.1」などで示されるIPアドレスを「http://www.○○○.com」のような文字列に置き換える仕組み。 * ルートキット * コンピューターに潜伏し不正アクセスを手助けするツールがパッケージ化されたもの