パスワードの暗号化：パスワードの暗号化方式の仕組み

暗号化によってパスワードはスクランブルされ、ハッカーが解読したり、使用したりできないようにします。この簡単な手順で、パスワードは、サーバーに保存されている間は保護され、インターネット上を移動するときにはさらに保護を強化します。 

できる限り最強なパスワードを作成したと想像してください。では、苦労してやり遂げた仕事がすべて会社のサーバーにプレーンテキストで保存されていると想像してください。ハッカーが侵入したら、この後どうなるでしょうか？せっかくのあなたの努力はすべて台無しとなり、ユーザー名とパスワードはダークウェブなどで売り飛ばされてしまいます。

このような問題は頻繁に発生します。例えば、2020年、保護されていないユーザー名とパスワードが インターネット対応のドアベルシステムから、中国のサーバーに送信されていることがセキュリティアドボケートによって発見されました。

パスワードの暗号化の仕組み

専門家は、ソルト、SHA-1、秘密鍵などの用語を使用して、暗号化とは何か、ITがどのように機能するかを説明します。 これらの専門用語は理解しにくく、特にコンピュータサイエンスのバックグラウンドがない人にはお手上げです。 

しかし、簡単に言えば、パスワードの暗号化は、元の単語を一連のスクランブルステップに通すことで機能します。

暗号化には主に４つのタイプがあります。

1. 対称キー: システムには、暗号化/復号化用のキーがあります。パスワードをこの鍵に通してスクランブルにかけ、鍵を元に戻してもう一度読めるようにします。ハッカーがパスワードを乗っ取るためにはこの鍵を盗まなければなりません。
    
2. 公開鍵:パスワードを変更する際には、2つの鍵が役割を果たします。1つは公開鍵で、誰でも使用できます。もう１つはプライベート鍵で、一部の人しか使用できません。メッセージのエンコードに一方の鍵が使われ、受信者はその意味を理解するためにもう一方の鍵が必要です。
    
3. ハッシュ化:コンピューターアルゴリズムがパスワードをランダムな数字と文字の列に変換します。ハッカーは、パスワードの変更に使用したアルゴリズムを知っている必要がありますが、それを見分けるのは必ずしも簡単ではありません。
    
4. ソルト化:IT部門がハッシュプロセスを進める前に、パスワードの先頭または末尾にいくつかのランダムな数字または文字が追加されます。 ハッカーは、ハッシュ(必ずしも簡単ではありません)と、メッセージをデコードするためのハッシュアルゴリズムを知っている必要があります。管理者は、すべてのパスワードに同じ固定ソルトを使用することも、パスワードごとに変化する変数ソルトを使用することもできます。

どのように暗号化を処理するかにかかわらず、結果は同じです。パスワードは、自分が知っていて記憶できるものから、完全にランダムに見えるものへと変化します。

一般的なパスワードの暗号化形式 

パスワードの安全性を理解することは、新しい言語を学ぶようなものです。パスワードを変換するツールはいくつか存在し、それらはすべて少し異なる動作をします。

パスワードがR@nT4g*Neであると想像してみてください。(一般的な用語では、Rent Forgone。)これをいくつかの異なる暗号化ツールに通してみましょう。

• SHA-1:パスワードは40文字で構成されており、明確な復号化方法はありません。安全なパスワードは12bf203295c014c580302f4fae101817ec085949です。
   
• SHA-1 with Salt: パスワードはまだ 40 文字で構成されていますが、「Free」という単語が追加されています。安全なパスワードはbc6b79c7716722cb383321e40f31734bce0c3598です。
   
• MD5:パスワードは128ビットの文字列にエンコードされています。安全なパスワードは4e84f7e8ce5ba8cdfe99d4ff41dc2d41です。
   
• AES: この対称暗号化アルゴリズムを使用して、ビット長を選択できます。完成したパスワードがどのように見えるかを、モデル化することはほぼ不可能です。なぜなら、あまりにも変数が多すぎるため１つを選択できず、それぞれが結果に影響を与えるためです。

しつこいハッカーは、防御を突破してファイルにアクセスすることができます。しかし、このようなシステムを使用すると、大幅な遅延が発生する可能性があります。ハッカーは、パスワードを保護するために使用しているアルゴリズムを発見できないと、イライラします。そうして彼らは、別のターゲットを攻撃することを選ぶでしょう。

パスワードの暗号化だけでは不十分 

ハッシュコードとソルトを使用すると、保存中および転送中のパスワードを保護できます。しかし、完全なセキュリティを実現するには、もう少し努力が必要です。実際、専門家は、強力な暗号化ポリシーは盲点を残す可能性があると述べています。安全ではないのに、自分たちは安全だと思ってしまうからです。 

強力なパスワードポリシーの支持者になりましょう。次の点を必ず確認してください。

• ユニーク。あるシステムのデータを別のシステムで使用しないでください。ハッカーが1つのデータベースにアクセスした場合、あなたの複製も危険にさらされます。
   
• 強い。専門家は、数字に対応するランダムな単語リストを作成することを推奨しています。サイコロを振って、新しいパスワードを何にするかを決定します。
   
• 忘れ られない。すべてのパスワードを文書化したリストを保持するか、各パスワードを保存するデジタルソリューションに投資してください。

侵害の通知を受けた場合は、すぐに対策を講じてください。対応が遅くなればなるほど、ハッカーがデータを盗んだり、システムを乗っ取ったり、またはその両方をする時間を許してしまうことになります。

Oktaから専門家のサポートを受ける 

大小問わず会社概要 セキュアな認証セキュリティシステムを構築します。 高度なパスワード管理と多要素認証ソリューションにより、ハッカーが頭を悩ませるほどの情報、データを保護し、プライバシーを確保できます。

仕組みや導入方法について、ぜひ詳細をご確認ください。詳しくはお問い合わせください。

参考文献

IoT Stupidity Strikes Again—Victure VD300（2020年11月、Electropages) 

SHA-1 (dCode) 

MD5 Hash Generator（Dan's Tools） 

AES Encryption and Decryption Online Tool (Calculator)(Devglan) 

Best Way to Know the Algorithm Used for a Password Encryption (Stack Exchange) 

Major Cybersecurity Challenges in the Healthcare Sector (2020年12月、Healthcare Tech Outlook) 

Creating Strong Passwords (2018年10月、Surveillance Self-Defense)