パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

  • by Anonymous Coward

    > パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

    可能性を言い出したらキリが無いわけですが。

    • by Anonymous Coward on 2011年09月20日 19時33分 (#2022231)

      攻撃者のローカル側で総当りを試せるので、認証失敗時のアカウントロック等で総当り攻撃を制限する方法の意味がなくなるといったところでしょうか。

      単純にハッシュの強度に依存することになるので、今後のプロセッサ技術の進歩により、セキュリティが弱くなる可能性がありそうです。

      親コメント
      • by Anonymous Coward
        今後といわず、最近流行のGPUを用いた辞書攻撃ですでに十分やばいでしょう
        shadowなんて取られたら分散処理でいくらでも並列化して辞書攻撃できますから
        • by Anonymous Coward

          Pentium Proでjohn the ripperぶん回してた頃を思い出す
          最近はSHA-512とかだろうから分散なりしないと無理だろね

        • by Anonymous Coward

          MMORPGなどのネットゲームに解析組み込んでおけば、CPU/GPU共にハイスペックなマシンで分散コンピューティングできるから
          あっと言う間に解析できそう。
          ゲームやってる側は、「やっぱこのゲーム、負荷たけーな。もっといいグラボにするか」とかで勝手にスペック上げてくれそうですし。

      • by Anonymous Coward

        ローカルで総当たり・・・つまりハードウェアを盗んでじっくりパスワードの解読が出来るってこと?
        まずローカルにアクセス出来るってことは・・・セキュリティ的にはあれだがw

        管理者権限でいつもログインしている自分は関係ないかwww

        • by Anonymous Coward on 2011年09月20日 21時57分 (#2022320)

          ハードウェア盗まなくても、Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性があるということです(最悪リモートからも)。そして、取得されちゃったハッシュは「攻撃者のローカルなコンピュータ」で気の済むまで解析されちゃう可能性があるってことです。

          今だから白状するけど、昔NEXTSTEPのNetinfoシステムも、デフォルトの設定だとリモートからアクセスできて、パスワードハッシュが取れたことがありました。ファイヤーウォールがないと、スコーンとアクセスできちゃいました。で、クラックコードはしらせたら、短いパスワードは解析できちゃってビビッた覚えがあります。

          親コメント
          • by Anonymous Coward

            >Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性がある

            そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
            そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

            まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw

            • by Anonymous Coward

              >そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
              >そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

              そんな単純な話で済んだら、ネットセキュリティの世界は平和になるんだろうなあ。
              無知って本人だけは幸せでいいですよね。

              >まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・
              >そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw

              マルウェアで解析までさせちゃうんじゃないの?
              解析済みのパスワードをせっせと外部サーバに送信して、外部から侵入し

              • by Anonymous Coward

                Mac OS XのユーザIDとStoreのIDは全くの別物ですよ

              • by s02222 (20350) on 2011年09月21日 10時46分 (#2022491)
                同じパスワードをあちこち使い回してる人が多そうなので、色々と応用が利きそうです。

                まあそこまで侵入できたら、ブラウザが覚えてるパスワードを狙った方が早そうだけど。
                親コメント
            • by Anonymous Coward

              > そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・

              クラッカーは、多くは奇妙で特殊なひとだよ(^_^;)。

              > そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

              そんな馬鹿なWebアプリでも、今まではハッシュまでは取られることがなかったのに、
              Lionになってとられる可能性がでてきたので、どうよ、っていうことではないでしょうか?

              昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。
              クライアントで使ってる分にはいいのかなぁ..
              .(まあ、ちょっといやだけど、考え方は人それぞれだし、それは尊重しますよ :-)。

              • by Anonymous Coward

                > 昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。

                Mach(Darwin)のMach-Portへのアクセス権はケーパビリティベースのセキュリティをとってる。
                したがって、動かすプログラムによって、ブートストラップ名前空間をかえて、
                権限をしぼったりできるようになってるかもしれない。
                Technical Note TN2083:デーモンとエージェント [apple.com]
                好意的解釈だけど...。

            • by Anonymous Coward
              そうだね。セキュリティーホール開いてなければbindもsendmailもhttpdもsshdも全部rootで動かしていいよね。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...