10/14 情報セキュリティ

入力したパスワードの確認：コンピューター内にパスワードを保存してあるものを参照に確認する。昔はパスワードの文字列そのものを保存していた。

パスワードを盗みとる手段

ソーシャルエンジニアリング：
詐欺的な手法によって不正に情報を入手すること。ID・パスワードをを盗みとる場合、必ずしもPCの技術力は必要ではない。人間の心理や行動をにおける盲点やミスをついて不正に情報を入手する。

手口

ショルダーハッキング：　IDやパスワードを入力している状態を肩越しに覗き見て情報を得る。

スカベンジング　：ゴミの中からIDやパスワードを記したメモなどの情報資産を入手する。
　
成済まし電話：上司やシステム管理者に成り済まして電話をかけIDやパスワードが必要な事態が発生して至急対応が必要だと騙し情報を入手する方法。

パスワードを盗みとる技術

キーロガー　：パスワードの入力画面は＊＊＊で表示されるが、キーロガーはキーをログする。
キーボードからの打鍵履歴をすべて記録する仕組みをコンピューター内に組み込んでパスワードを入手する。

辞書攻撃　：パスワードとして利用されがちな文字列をあらかじめ辞書として登録しておき、辞書に一致する文字列を順番に試してパスワードを破る手法。

ブルートフォース攻撃　：パスワードとして利用可能な文字の組み合わせを片っぱしから順に試してみることでパスワードを破る方式。

レインボー攻撃：　
あらゆるパスワードに対応したレインボーテーブルを用意しておき、コンピュータのパスワードとハッシュ値と一致するハッシュ値をレインボーテーブルから探し出すことでパスワードを盗みとる手法。
↓　レインボーテーブル　：様々なパスワードの設定を試み、パスワード毎のハッシュ値を記録したデータ　　
↓　
（ハッシュについて）＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

ハッシュ：与えられたデータ・パスワードについて演算（ハッシュ関数：演算の結果）する。
例）パスワードが１２３・ハッシュ関数が９で割ってあまりの場合
123÷9＝１３あまり６なので、このハッシュ値は6となる。
パスワードの認証に使える。パスワードに対してハッシュ関数を行う。
・代表的なハッシュ関数　ＭＤ５　128bitのハッシュ値をつくり出す。

ＳＨＡ－１ 160bitのハッシュ値を作り出す。
・ハッシュ関数の特徴
①入力された値から一定の長さを出力できる。
②同じ値を入力すると常に同じ出力値が出力されるが、入力される値が一部分でも異なると出力値が大きく変化する。
３ハッシュ値から元のデータを検知することはできない
個人からのパスワードの登録はハッシュ値に切り替えサーバーに保存され、ウェブサイトで認証される。＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
＊パスワードの適切な管理：ウィンドウズＸＰ用
パスワードの入力にソフトウェアキーボードを利用する。
→ＩＭＥパットから利用
直前に利用したユーザー名を表示しないように設定する。

＊パスワードの付け方の例

・自分の好きな文章やそれをローマ字に変換したもの
・文字列の一部を入れ替える（ｌ→１・a→@）変換規則を作る
・変換した文字列の特定位置
・文章から数文字だけ抽出したり入れ替える

パスワードチェッカー （チェックしたいパスワードがどれだけ安全かどうか調べられる）
https://www.microsoft.com/japan/protect/yourself/password/checker.mspx

打鍵履歴：
ログ：記録

カラーコード表 http://www.red.oit-net.jp/tatsuya/java/coltbl1.htm