ブルートフォースアタックとパスワード付きファイルの意味がない件

こんにちは、殿内(@tonoccho)です

これで最後！

ブルートフォースアタック

これはITのjobしてれば多分知らない人はいないと思うんですが、知っていながらブルートフォースに脆弱なポリシーを作る人が多かった印象なので、一応まとめて意見書きます。
まずこの攻撃が何かというと、「当たるまで全組み合わせを試す」ということです。簡単ですね。３桁のダイヤルロックだったら人間が手でやっても結構現実的な時間で終わります。
コンピュータの世界では、今時なら１０分あれば１億通りくらい試せそうです。本気出せばもっと早いでしょう。手に入るものの価値を考えた費用対効果でいけばいいと思います。

数学的に平均アタック回数はいくつか

いきなり当たること、最後の組み合わせで当たること、の確率が全部同じなので、全組み合わせ数の半分が平均アタック回数です。

メールにパスワードかけたzipを添付する文化

japanでは、メールにパスワードロックしたzipを添付して相手に送り、パスワードを追って送ります、という方式がよく取られていますが、果たしてこれの効果は何か、というと、「パスワードのメールだけ傍受できた場合にはファイルの内容を見られずに済む」ということです。
どういうことかというと、zipファイルにはパスワード試行回数何回以上でどうする、ということがないので、ブルートフォースが可能なので、パスワードロックをかけたところで、あまり意味がありません。
次に、メールの内容自体はSSLで暗号化されているため、これを元に戻すには秘密鍵が必要です。秘密鍵が漏洩したら色々アウトなので、だいたいみんな「盗まれるなら犯罪犯そう」くらいの勢いで守っています。
手っ取り早いのは、メールのアカウント情報を盗むことですが、それができたら添付とパスワードを分割して送る意味はもはやありませんね。そういうわけですから、アカウントに不正侵入できないようにすることがとても大事です。

多要素認証

最近のWebサービスでは、ログインした時に、携帯に暗証番号をテキストで送るシステムがあります。これを多要素認証と言います。これを使えば、アカウントのパスワードとテキストを送る携帯電話を盗まなくてはならないので、結構大変そうです。
ちょっと前のエントリーに書いたように今は電波を傍受してSIMをコピーすることもできなくなっていますので、ひょっとするとかなり安全なのかもしれません。

そういうわけで

パスワードロックしたファイルを送っても別に安心でもなんでもない、ということでした。NZでは結構重要そうなファイルもPDFをメールに添付して送ってきたりしますから、japanとはかなり違いますね。