アカウント名:
パスワード:
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。# というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。では、もう少し引用を短くしてみよう。
>ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解
ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい?このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな?
もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、shadow 化によってBFA を完全に防げる、または、暗号化によって安全を確実に担保できるソリューションがもし、存在するのであれば、私の後学のために、是非とも教えて欲しい。
また、断言するけれども、このダウングレードによってOSX のEAL [wikipedia.org]が取り消し、またはダウングレードする可能性は0 だろう。
念のため繰り返すけれども、編集を弄っていたのであって、釣りではない。
完全ではないにしても、たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?で、パスワードをBFAするに現実的な時間で完了しないなら、それは解決策なんじゃないかな?
あくまでアカウントリスト取得からBFAだけの視点で。
で、ハッシュがとれるとですが、BFAするにして(つまりDAできないランダムで長いパスワードだったとして)もRainbowテーブルとの突き合せができるので、上記を回避しつつクラックすると。
# たしかに皮肉というか洒落はあったと思うけど、要点は総当りより折角読めない位置にあるはずのshadow=ハッシュが素で読める点が重要だったから、重視されなかった、かなぁ?
という感想をえたのですが、どんなもんでしょう?
ぶ、追記
> たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?Mac OS Xに限らないで、一般的な防御方法という意味でよろしくorz
しかも、Shadowを狙えばOSの認証系セキュリティログに残らないのでユーザー・管理者に気づかれないというメリットも。
真面目に考えたつもりなのだろうけれども、それ(可能性)とこれ(可能性の排除が可能か、の検証?かな?あなたの書き込みそのもの)とで、何が関係あって、何が違うんだい?
雑談から始まって、#2022410のような興味深い枝が大きく成長するような感じが、昔のスラドだったよねえ。
面白いかどうかは、棚上げして、
>ツリーが無駄にのびているようだが、別に釣り(ツリー)ではないので
というところに反応できる人が少数でも居たことが、無粋と認識するけれども、昔のスラドだったと思うのよ。現状は程度も低いし頭も固すぎる。
洒落を洒落と見抜けない人は(略。以上、#2022222の人でした。
>もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、>shadow 化によってBFA を完全に防げる、または、暗号化によって安全を確実に担保できるソリューションが>もし、存在するのであれば、私の後学のために、是非とも教えて欲しい。
「完璧じゃないなら一切意味がない」なんてのは典型的な極論ですね。たいていは自分の過ちを認めないための逃げ口上です。
># というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。面白くなかったからでしょう
shadowの意味が分からない馬鹿なんで懇切丁寧に理解できるまで解説していただけますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
それは驚いた。 (スコア:0)
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
#2022222 のAC であるが。(was:Re:それは驚いた。 (スコア:1)
ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。
# というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。
では、もう少し引用を短くしてみよう。
>ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解
ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい?
このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、
ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな?
もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
shadow 化によってBFA を完全に防げる、または、暗号化によって安全を確実に担保できるソリューションが
もし、存在するのであれば、私の後学のために、是非とも教えて欲しい。
また、断言するけれども、このダウングレードによってOSX のEAL [wikipedia.org]が取り消し、またはダウングレードする可能性は0 だろう。
念のため繰り返すけれども、編集を弄っていたのであって、釣りではない。
Re:#2022222 のAC であるが。(was:Re:それは驚いた。 (スコア:2)
1. たまたまログイン状態で席を離れた誰かのMacからその人のパスワードのハッシュを盗ってくる
2. 家に帰って、自分のMacのパスワードテーブルのハッシュを、盗ってきたハッシュに書き換える
3. ログインが成功するまでゆっくりのんびり総当たりでパスワードを試す
4. 1の人のパスワードが分かる
2022222 さんが勘違いをされてるとしたら、「総当たり攻撃」=「2~3の工程を被害者の人のMacで試す事」と思い込んでらっしゃる辺り。それは、時間はかかるわ怪しい痕跡は残るわだから、他の方法で防ぎようがある。
そんなモロバレの間抜けな方法を使わず、↑みたいなバレにくい方法でも総当たり攻撃は可能なのでハッシュを盗られるのは危険。もちろん、↑も果てしなく間抜けなので、まともなプログラマならもうちょっとマシなパスワード解析方法を使う。わざわざログインを試さなくても、OSがパスワードとハッシュの一致を試す方法は広く知られてるので、その部分だけ繰り返し計算するプログラムを書けばよろしい。
ので、タレコミ文の、
>パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
は、「パスワードそのものを盗られた場合と違って、その瞬間から悪用されるものではない」、「盗ったのが悪意と熱意のある人間であればいずれ何らかの攻撃を受けうる」、「弱いパスワードだと辞書攻撃でその『いずれ』が早まりうる」と、ツッコミ所も弄り所も特にない適切なまとめ。
# なんか自分のidに似てたのでツッコミを禁じ得なかった。
Re:#2022222 のAC であるが。(was:Re:それは驚いた。 (スコア:1)
完全ではないにしても、たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
で、パスワードをBFAするに現実的な時間で完了しないなら、それは解決策なんじゃないかな?
あくまでアカウントリスト取得からBFAだけの視点で。
で、ハッシュがとれるとですが、BFAするにして(つまりDAできないランダムで長いパスワードだったとして)もRainbowテーブルとの突き合せができるので、上記を回避しつつクラックすると。
# たしかに皮肉というか洒落はあったと思うけど、要点は総当りより折角読めない位置にあるはずのshadow=ハッシュが素で読める点が重要だったから、重視されなかった、かなぁ?
という感想をえたのですが、どんなもんでしょう?
M-FalconSky (暑いか寒い)
Re:#2022222 のAC であるが。(was:Re:それは驚いた。 (スコア:1)
ぶ、追記
> たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
Mac OS Xに限らないで、一般的な防御方法という意味でよろしくorz
M-FalconSky (暑いか寒い)
Re: (スコア:0)
しかも、Shadowを狙えばOSの認証系セキュリティログに残らないのでユーザー・管理者に気づかれないというメリットも。
昔のスラド。(Re:#2022222 のAC であるが。(was:Re:それは驚いた。 (スコア:0)
真面目に考えたつもりなのだろうけれども、それ(可能性)とこれ(可能性の排除が可能か、の検証?かな?あなたの書き込みそのもの)とで、何が関係あって、何が違うんだい?
雑談から始まって、#2022410のような興味深い枝が大きく成長するような感じが、昔のスラドだったよねえ。
面白いかどうかは、棚上げして、
>ツリーが無駄にのびているようだが、別に釣り(ツリー)ではないので
というところに反応できる人が少数でも居たことが、無粋と認識するけれども、昔のスラドだったと思うのよ。
現状は程度も低いし頭も固すぎる。
洒落を洒落と見抜けない人は(略。
以上、#2022222の人でした。
Re: (スコア:0)
>もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
>shadow 化によってBFA を完全に防げる、または、暗号化によって安全を確実に担保できるソリューションが
>もし、存在するのであれば、私の後学のために、是非とも教えて欲しい。
「完璧じゃないなら一切意味がない」なんてのは典型的な極論ですね。
たいていは自分の過ちを認めないための逃げ口上です。
Re: (スコア:0)
># というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。
面白くなかったからでしょう
Re: (スコア:0)
shadowの意味が分からない馬鹿なんで懇切丁寧に理解できるまで解説していただけますか?