あいまいさによるセキュリティは眉をひそめ、実際には安全ではないと考えられていることは知っていますが、あいまいさによるパスワードセキュリティではありませんか? 誰にも見つからない限り、安全です。
それは単に曖昧さのレベルの問題ですか?(つまり、適切にソルト化およびハッシュ化された優れたパスワードは、解読するのが実際的ではありません)
注: パスワードを保存するプロセスについて質問しているわけではありません (適切にハッシュ化およびソルト化されていると仮定します)。私は、パスワードを使用してアイデア全体について質問しています。これは、情報の一部であり、知られている場合、個人のアカウントが危険にさらされる可能性があります。
それとも、あいまいさによるセキュリティの意味を誤解していますか? 私はそれが意味すると思います。つまり、知られているとシステムを危険にさらす情報が存在するということです (この場合、システムは、パスワードが保護することを意図したものとして定義されています)
パスワードは、あいまいな場合にのみ安全であるという点で正しいです。しかし、「あいまいさによるセキュリティ」の「あいまいな」部分は、システムのあいまいさを指します。パスワードを使用すると、システムは完全にオープンになります。ロックを解除するために使用される正確な方法はわかっていますが、システムの一部ではないキーは不明です。
一般化すると、はい、すべてのセキュリティはあいまいさによって実現されます。ただし、「あいまいさによるセキュリティ」というフレーズは、これを指していません。
おそらく、ある意味では正反対のものを見ることによって、Security-by-Obscurity が何であるかを理解するのがより簡単になります:オーギュスト・ケルクホフの第二原理(現在は単にケルクホフの原理として知られている) は、1883 年にLa Cryptographie Militaireに関する 2 つの記事で策定されました。:
[暗号] は秘密である必要はなく、不都合なく敵の手に渡ることができなければなりません。
クロード・シャノンはそれを次のように再定式化しました。
敵はシステムを知っています。
エリック・レイモンドは次のように:
敵がソース コードを所有していると想定しないセキュリティ ソフトウェア設計は、すでに信頼できません。
その原則の別の定式化は、
システムのセキュリティは、システムの秘密性ではなく、キーの秘密性のみに依存する必要があります。
したがって、単純に Security-by-Obscurity をその原則に従わない任意のシステムとして定義することができるため、巧妙にパスワードの定義を外しました :-)
この原則が理にかなっている基本的な理由が 2 つあります。
システムを秘密にしてはいけないということはどこにも書かれていないことに注意してください。依存してはいけないと言っているだけです。Security-by-Obscurity を追加の防御線として使用することはできますが、それが実際に機能するとは想定しないでください。
ただし、一般に、暗号化は難しく、暗号化システムは複雑であるため、できるだけ多くの注目を集めるために公開する必要があります。秘密裏に暗号システムを設計するのに必要なスマートな人々を実際に持っている組織は、この地球上でごくわずかしかありません。過去には、数学者が愛国者で政府が金持ちだったとき、それらは NSA と KGB でしたが、現在は IBM と数年後、それは中国のシークレット サービスと国際的な犯罪シンジケートになるでしょう。
いいえ、ウィキペディアからあいまいさによるセキュリティの定義を見てみましょう
(設計、実装などの) 機密性を使用してセキュリティを提供しようとする、セキュリティ エンジニアリングの原則を指す軽蔑的な言葉。
このフレーズは、コード自体、またはシステムの設計を指します。一方、パスワードは、ユーザーが自分自身を識別する必要があるものです。これは認証トークンの一種であり、コードの実装ではありません。
パスワードは認証の一種です。それらは、あなたが対話すべき相手と対話していることを識別するためのものです。
これは、セキュリティのさまざまな側面の優れたモデルです (セキュリティ コースでこれを暗記する必要がありました)。
http://en.wikipedia.org/wiki/File:Mccumber.jpg
パスワードは、セキュリティの機密性の側面の 1 つです。
認証の形式 (知っていること、持っていること、自分であること) の中では弱いかもしれませんが、それはあいまいさによるセキュリティを構成するものではないと私は言います。パスワードを使用すると、システムの側面を隠して隠そうとすることはありません。
編集:
パスワードが「セキュリティ スルー オブスキュリティ」の手段でもあるという論理に従う場合、暗号化などを含むすべてのセキュリティは、あいまいさによるセキュリティです。つまり、あいまいさによって保護されていない唯一のシステムは、コンクリートに囲まれて海底に沈み、誰も使用することを許可されていないシステムだけです. ただし、この推論は、何かを成し遂げるのに役立ちません。したがって、セキュリティ手段としてシステムの実装を理解しないことを使用する慣行を説明するために、あいまいさによるセキュリティを使用します。パスワードを使用すると、実装が既知になります。
あいまいさによるセキュリティは眉をひそめ、実際には安全ではないと考えられていることは知っていますが、あいまいさによるパスワードセキュリティではありませんか? 誰にも見つからない限り、安全です。
この質問に答えるには、なぜ「隠蔽によるセキュリティ」に欠陥があると見なされるのかを考える必要があります。
あいまいさによるセキュリティに欠陥がある大きな理由は、外部との相互作用に基づいてシステムをリバース エンジニアリングするのが実際には非常に簡単だからです。あなたのコンピュータ システムがどこかに座っていて、喜んでユーザーを認証している場合、私はそれが送信するパケットを監視し、パターンを監視し、それがどのように機能するかを理解することができます。そして、それを攻撃するのは簡単です。
対照的に、適切なオープン暗号化プロトコルを使用している場合は、いくら盗聴してもパスワードを盗むことはできません。
これが基本的に、システムを隠蔽することには欠陥がありますが、キー マテリアルを隠蔽すること (安全なシステムを想定) には欠陥がない理由です。隠蔽によるセキュリティだけでは、欠陥のあるシステムを保護することはできません。システムに欠陥がないことを確認する唯一の方法は、システムを公に精査することです。
いいえそうではありません。
隠蔽によるセキュリティとは、正確な詳細が公開されていないため、アクセス保護を提供するプロセスが安全であることを意味します。
ここで公開されているということは、プロセスのすべての詳細がすべての人に知られていることを意味します。ただし、もちろん、キーを構成するランダム化された部分は除きます。キーを選択できる範囲は、まだ全員に知られていることに注意してください。
これの効果は、秘密にする必要がある唯一の部分はパスワード自体であり、プロセスの他の部分ではないことを証明できることです。または逆に、システムにアクセスする唯一の方法は、何らかの方法でキーを取得することです.
詳細の不明瞭さに依存するシステムでは、そのような保証はできません。使用しているアルゴリズムを見つけた人は、バックドア (つまり、パスワードなしでシステムにアクセスする方法) を見つけられる可能性があります。
短い答えはノーです。パスワード自体は、あいまいさによるセキュリティではありません。
パスワードは、暗号化における鍵に似ていると考えることができます。鍵があれば、メッセージを解読できます。鍵をお持ちでない方はご利用いただけません。同様に、正しいパスワードがあれば認証できます。そうしないとできません。
隠蔽によるセキュリティの隠蔽部分は、スキームがどのように実装されているかを指します。たとえば、パスワードが平文でどこかに保存されていて、その正確な場所が秘密に保たれている場合、あいまいさによるセキュリティになります。新しいOS用のパスワードシステムを設計していて、パスワードファイルを/etc/guy/magical_locationに置き、「cooking.txt」という名前を付けて、どこにあるかを知っていれば誰でもアクセスしてすべてのパスワードを読み取ることができるとしましょう. 最終的に誰かが (たとえばリバース エンジニアリングによって) パスワードがそこにあることを突き止め、世界のすべての OS インストールが壊れてしまうでしょう。
もう 1 つの例は、誰もがアクセスできる場所にパスワードが保存されているが、「秘密」キーで暗号化されている場合です。キーにアクセスできる人は誰でもパスワードを取得できます。それも曖昧さによるセキュリティでしょう。
「あいまいさ」とは、秘密にされているアルゴリズムまたはスキームの一部を指し、それが公の知識である場合、スキームが危険にさらされる可能性があります。キーやパスワードが必要であるという意味ではありません。
はい、あなたは正しく、それはあなたが持っている非常に重要な認識です.
あまりにも多くの人が、意味を理解せずに「あいまいさによるセキュリティ」と言っています。重要なのは、特定の実装をデコードする「複雑さ」のレベルです。ユーザー名とパスワードは、アクセスに必要な情報量を大幅に増加させるため、それを複雑に実現したものに過ぎません。
セキュリティ分析で心に留めておくべき重要なことの 1 つは、脅威モデルです。誰を、なぜ、どのように防いでいるのでしょうか? 何をカバーしていないのですか?など 分析的および批判的思考を維持します。それはあなたによく役立ちます。
