パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

  • by Anonymous Coward on 2011年09月20日 19時25分 (#2022222)

    > パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

    可能性を言い出したらキリが無いわけですが。

    • by kamisui (39000) on 2011年09月20日 19時44分 (#2022234)
      この場合、0%じゃなきゃ「可能性はある」よねって事ではなく、十分な現実的をもって「おそれがある」ということでしょう。

      そういうわけなので、対策の一つとしてゲストアカウントを無効にしておきましょう、というお話では。
      後は基本として短いパスワードは付けない。

      そのうち修正されると思いますが。
      親コメント
    • by Anonymous Coward on 2011年09月20日 19時47分 (#2022236)

      お安い GPU で強固なパスワードも用無しに [srad.jp]
      ハッシュが漏れた場合の総当たりはすでに十分現実的ですよ。

      親コメント
    • by Anonymous Coward on 2011年09月20日 23時04分 (#2022357)

      ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。
      # というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。
      では、もう少し引用を短くしてみよう。

      >ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解

      ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい?
      このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、
      ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな?

      もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
      shadow 化によってBFA を完全に防げる、または、暗号化によって安全を確実に担保できるソリューションが
      もし、存在するのであれば、私の後学のために、是非とも教えて欲しい。

      また、断言するけれども、このダウングレードによってOSX のEAL [wikipedia.org]が取り消し、またはダウングレードする可能性は0 だろう。

      念のため繰り返すけれども、編集を弄っていたのであって、釣りではない。

      親コメント
      • ものすごく素朴な所からスタートすると、例えばこんなことが出来るというイメージ。

        1. たまたまログイン状態で席を離れた誰かのMacからその人のパスワードのハッシュを盗ってくる
        2. 家に帰って、自分のMacのパスワードテーブルのハッシュを、盗ってきたハッシュに書き換える
        3. ログインが成功するまでゆっくりのんびり総当たりでパスワードを試す
        4. 1の人のパスワードが分かる

        2022222 さんが勘違いをされてるとしたら、「総当たり攻撃」=「2~3の工程を被害者の人のMacで試す事」と思い込んでらっしゃる辺り。それは、時間はかかるわ怪しい痕跡は残るわだから、他の方法で防ぎようがある。

        そんなモロバレの間抜けな方法を使わず、↑みたいなバレにくい方法でも総当たり攻撃は可能なのでハッシュを盗られるのは危険。もちろん、↑も果てしなく間抜けなので、まともなプログラマならもうちょっとマシなパスワード解析方法を使う。わざわざログインを試さなくても、OSがパスワードとハッシュの一致を試す方法は広く知られてるので、その部分だけ繰り返し計算するプログラムを書けばよろしい。

        ので、タレコミ文の、

        >パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

        は、「パスワードそのものを盗られた場合と違って、その瞬間から悪用されるものではない」、「盗ったのが悪意と熱意のある人間であればいずれ何らかの攻撃を受けうる」、「弱いパスワードだと辞書攻撃でその『いずれ』が早まりうる」と、ツッコミ所も弄り所も特にない適切なまとめ。

        # なんか自分のidに似てたのでツッコミを禁じ得なかった。
        親コメント
      • 完全ではないにしても、たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
        で、パスワードをBFAするに現実的な時間で完了しないなら、それは解決策なんじゃないかな?

        あくまでアカウントリスト取得からBFAだけの視点で。

        で、ハッシュがとれるとですが、BFAするにして(つまりDAできないランダムで長いパスワードだったとして)もRainbowテーブルとの突き合せができるので、上記を回避しつつクラックすると。

        # たしかに皮肉というか洒落はあったと思うけど、要点は総当りより折角読めない位置にあるはずのshadow=ハッシュが素で読める点が重要だったから、重視されなかった、かなぁ?

        という感想をえたのですが、どんなもんでしょう?

        --
        M-FalconSky (暑いか寒い)
        親コメント
        • ぶ、追記

          > たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
          Mac OS Xに限らないで、一般的な防御方法という意味でよろしくorz

          --
          M-FalconSky (暑いか寒い)
          親コメント
          • by Anonymous Coward

            しかも、Shadowを狙えばOSの認証系セキュリティログに残らないのでユーザー・管理者に気づかれないというメリットも。

        • 真面目に考えたつもりなのだろうけれども、それ(可能性)とこれ(可能性の排除が可能か、の検証?かな?あなたの書き込みそのもの)とで、何が関係あって、何が違うんだい?

          雑談から始まって、#2022410のような興味深い枝が大きく成長するような感じが、昔のスラドだったよねえ。

          面白いかどうかは、棚上げして、

          >ツリーが無駄にのびているようだが、別に釣り(ツリー)ではないので

          というところに反応できる人が少数でも居たことが、無粋と認識するけれども、昔のスラドだったと思うのよ。
          現状は程度も低いし頭も固すぎる。

          洒落を洒落と見抜けない人は(略。
          以上、#2022222の人でした。

      • by Anonymous Coward

        >もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
        >shadow 化によってBFA を完全に防げる、または、暗号化によって安全を確実に担保できるソリューションが
        >もし、存在するのであれば、私の後学のために、是非とも教えて欲しい。

        「完璧じゃないなら一切意味がない」なんてのは典型的な極論ですね。
        たいていは自分の過ちを認めないための逃げ口上です。

      • by Anonymous Coward

        ># というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。
        面白くなかったからでしょう

    • by Anonymous Coward
      shadowの意味が分からなくて解説して欲しいなら,素直に質問した方が良いですよ.
    • by Anonymous Coward

      攻撃者のローカル側で総当りを試せるので、認証失敗時のアカウントロック等で総当り攻撃を制限する方法の意味がなくなるといったところでしょうか。

      単純にハッシュの強度に依存することになるので、今後のプロセッサ技術の進歩により、セキュリティが弱くなる可能性がありそうです。

      • by Anonymous Coward
        今後といわず、最近流行のGPUを用いた辞書攻撃ですでに十分やばいでしょう
        shadowなんて取られたら分散処理でいくらでも並列化して辞書攻撃できますから
        • by Anonymous Coward

          Pentium Proでjohn the ripperぶん回してた頃を思い出す
          最近はSHA-512とかだろうから分散なりしないと無理だろね

        • by Anonymous Coward

          MMORPGなどのネットゲームに解析組み込んでおけば、CPU/GPU共にハイスペックなマシンで分散コンピューティングできるから
          あっと言う間に解析できそう。
          ゲームやってる側は、「やっぱこのゲーム、負荷たけーな。もっといいグラボにするか」とかで勝手にスペック上げてくれそうですし。

      • by Anonymous Coward

        ローカルで総当たり・・・つまりハードウェアを盗んでじっくりパスワードの解読が出来るってこと?
        まずローカルにアクセス出来るってことは・・・セキュリティ的にはあれだがw

        管理者権限でいつもログインしている自分は関係ないかwww

        • by Anonymous Coward on 2011年09月20日 21時57分 (#2022320)

          ハードウェア盗まなくても、Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性があるということです(最悪リモートからも)。そして、取得されちゃったハッシュは「攻撃者のローカルなコンピュータ」で気の済むまで解析されちゃう可能性があるってことです。

          今だから白状するけど、昔NEXTSTEPのNetinfoシステムも、デフォルトの設定だとリモートからアクセスできて、パスワードハッシュが取れたことがありました。ファイヤーウォールがないと、スコーンとアクセスできちゃいました。で、クラックコードはしらせたら、短いパスワードは解析できちゃってビビッた覚えがあります。

          親コメント
          • by Anonymous Coward

            >Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性がある

            そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
            そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

            まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw

            • by Anonymous Coward

              >そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
              >そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

              そんな単純な話で済んだら、ネットセキュリティの世界は平和になるんだろうなあ。
              無知って本人だけは幸せでいいですよね。

              >まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・
              >そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw

              マルウェアで解析までさせちゃうんじゃないの?
              解析済みのパスワードをせっせと外部サーバに送信して、外部から侵入し

              • by Anonymous Coward

                Mac OS XのユーザIDとStoreのIDは全くの別物ですよ

              • by s02222 (20350) on 2011年09月21日 10時46分 (#2022491)
                同じパスワードをあちこち使い回してる人が多そうなので、色々と応用が利きそうです。

                まあそこまで侵入できたら、ブラウザが覚えてるパスワードを狙った方が早そうだけど。
                親コメント
            • by Anonymous Coward

              > そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・

              クラッカーは、多くは奇妙で特殊なひとだよ(^_^;)。

              > そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

              そんな馬鹿なWebアプリでも、今まではハッシュまでは取られることがなかったのに、
              Lionになってとられる可能性がでてきたので、どうよ、っていうことではないでしょうか?

              昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。
              クライアントで使ってる分にはいいのかなぁ..
              .(まあ、ちょっといやだけど、考え方は人それぞれだし、それは尊重しますよ :-)。

              • by Anonymous Coward

                > 昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。

                Mach(Darwin)のMach-Portへのアクセス権はケーパビリティベースのセキュリティをとってる。
                したがって、動かすプログラムによって、ブートストラップ名前空間をかえて、
                権限をしぼったりできるようになってるかもしれない。
                Technical Note TN2083:デーモンとエージェント [apple.com]
                好意的解釈だけど...。

            • by Anonymous Coward
              そうだね。セキュリティーホール開いてなければbindもsendmailもhttpdもsshdも全部rootで動かしていいよね。
    • by Anonymous Coward

      ○ パスワードを解読されてしまう蓋然性が少なくない。

    • by Anonymous Coward

      もともと/etc/password ファイルには暗号化されたパスワードが格納されていて、そしてpasswdファイルは誰でも読めるようになっていました、というか今でもそうです。
      でもそれでは解析し放題だから、passwd ファイルにはダミーのパスワード'x'とでも入れておいて、一般ユーザには読めないshadowファイルに記録するようにしましょうというのが事の起こりだったと記憶しております。
      そもそもpasswdファイルを一般ユーザが読めないようにしなかったのは、そこからユーザ一覧を取得して処理するプログラムでもあったのでしょうか。
      なんか負の遺産ぽい気もしますが、次バージョンのMac OS Xではパスワードのハッシュを取得できる(rootにしか見えない)エントリが出来て今までのエントリにはダミーの値しか入らないようになったりして?

      • by espelette (42945) on 2011年09月20日 22時59分 (#2022355)

        /etc/passwd を読み込んで処理するプログラムはUNIXライクなシステムなら現役で
        多数存在しています。
        passwd という名前ながら、ユーザIDと
          * ユーザ名
          * プライマリグループ
          * ホームディレクトリ
          * ログインシェル
        といった情報とのマッピング情報を格納しているので、一般ユーザが /etc/passwd を
        読めなくなると、結構な数のプログラムがまともに動作しなくなります。

        ためしに chmod 600 /etc/passwd すると ls -l の出力のユーザ名や ps や top で
        表示されるはずのユーザ名が数字になってしまうのを確認できるはず。

        親コメント
    • by Anonymous Coward

      いろんなコメントがついているが。

      総当りで解かれるということは、既に逆引き辞書が作られているということだぞ。

      passwd見てから、おもむろに総当りで破ろうとするわけではないぞ。

      わかった上での議論と思うが、念のため。

      • 総当たり攻撃するだけなら、都度生成すれば済むんではないですか?
        どうせ、2^ハッシュのビット数文の都度生成で済むんだし。
        今時のCPUやGPUをつかったら、非実用的な時間でもないでしょう。

        勿論その前に、既に解明されてるハッシュの一覧辞書やよく使われるキーワードの組み合わせから作成したハッシュ辞書でパターンマッチングして、どれにも一致しないのだけ総当たりに掛けて潰せば良い。

        # で、とけたら、「既に解明されてるハッシュの一覧辞書」に追加(´ー`)y-~

        そして、その手の辞書はアングラワールドには掃いて捨てるほど流通してる。脆弱なキーワード一覧から、具体的な乱数パスワードまで。

        ハッシュの生成/認証構造がMac独自?ならば、認証機構関連をリバースエンジニアリングして、そこらに転がってるGNU/LinuxやWindowsで動くようなクローンやクラッキングユニットを作れば良い。
        所詮、相手がOTPとか外部のワンタイムトークンに依存してない以上、それはそう難しくない(それをやり慣れてる人にとっては)

        まぁ、CPUとかGPUの資源だけが欲しければ十万弱で相当高速な物が手にはいる時代だし、その手のソフト専用に機械を廻しても、得られる経済的対価が大きく勝るのならばやる奴は少なからずいる。
        (そして、自分でカード喰うにしてもゾンビマシンを作ってさらなる悪事の踏み台を作るにしても、ただ単純にそこらへんのマフィアに売っぱらうにしても、大きな経済的対価が見込める世界みたいですし)

        親コメント
      • by Anonymous Coward

        言いたいことが良くわからないが、総当りの範囲を辞書にしようとしても現実的じゃないサイズになる。TとかPとかEとか。だから総当りで試すわけ。
        辞書なんてのは極々々一部なんだけど、それで数割とかいうレベルで当たるから使われる。
        しかしそれから漏れてたらどうしようもないから、あとはおもむろに総当りしかない。

        • by Anonymous Coward

          レインボーテーブルで調べてみてくれ
          ハッシュが漏れたら即解除というのは、すでに現実的なレベルなんだぞ?

    • 最近なんだ、その、レベルが低いと言うより、ちょっとおもしろそうなたれこみをクリックしてコメント見ると
      がっくり来てしまうんだよな。

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...