アカウント名:
パスワード:
・いずれにも入っているアカウントを乗っ取られた
普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが そうでなかったってことになっちゃいますね それどころか 結構前に流行った hosts.equivとか .rhostsとかを使った渡り歩きだっ
普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが
複数のホストにアカウントを持っている人の秘密鍵が盗まれて、破られたのかも知れません。 用心深い管理者ならsshでもパスワード認証
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
複数やられたの? (スコア:2, 興味深い)
・共通の脆弱性を利用されてヤラれた
・いずれにも入っているアカウントを乗っ取られた
・内部の犯行
・その他
はうまっち。
Re:複数やられたの? (スコア:1)
普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが そうでなかったってことになっちゃいますね
それどころか 結構前に流行った hosts.equivとか .rhostsとかを使った渡り歩きだっ
Re:複数やられたの? (スコア:1)
複数のホストにアカウントを持っている人の秘密鍵が盗まれて、破られたのかも知れません。
用心深い管理者ならsshでもパスワード認証
Re:複数やられたの? (スコア:0)
Re:複数やられたの? (スコア:5, すばらしい洞察)
ログイン先のマシンがクラックされていたら、そのマシン用のパスワードがばれて、同じパスワードを使っているマシンが芋づる式にやられますが、キーペア方式なら秘密鍵がばれることはありません。
ログイン元のマシンがクラックされた場合は、キーロガーを仕掛けられたりその他の方法で、パスワードも秘密鍵もダメでしょう。
最も守るべきなのは手元のマシンなのです。
今回の事件でもcompromisedなマシンにあるアーカイブの署名が確認されて大丈夫だということですが、そのアーカイブに対して署名が「行われた」マシンが無事あることが暗黙の了解なのです。
パスワードをマシンごとに変えるのは多くの知的資源を要します。公開鍵をマシンごとに変える場合もパスフレーズをいっしょにしてしまうとあんまり意味ありません。
手元のマシンがクラックされるかもしれない、ということに対する対処としては、「マシンごとにパスワードを変える」と「どのマシンも同じ公開鍵」とでは本質的な違いはないと思います。