Re:#2022222 のAC であるが。（was:Re:それは驚いた。 (#2022370) | Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる

「Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

記事ページを表示すべてのコメント取得

検索73コメント Log In/Create an Account

それは驚いた。 (スコア:0)

by Anonymous Coward

> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
- #2022222 のAC であるが。（was:Re:それは驚いた。 (スコア:1)
  
  by Anonymous Coward
  
  ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。
  # というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか（汗。
  では、もう少し引用を短くしてみよう。
  ＞ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解
  ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい？
  このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、
  ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな？
  もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
  shadow 化によってBFA を
  - Re: (スコア:1)
    
    by M-FalconSky (8868)
    
    完全ではないにしても、たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
    で、パスワードをBFAするに現実的な時間で完了しないなら、それは解決策なんじゃないかな?
    あくまでアカウントリスト取得からBFAだけの視点で。
    で、ハッシュがとれるとですが、BFAするにして(つまりDAできないランダムで長いパスワードだったとして)もRainbowテーブルとの突き合せができるので、上記を回避しつつクラックすると。
    # たしかに皮肉というか洒落はあったと思うけど、要点は総当りより折角読めない位置にあるはずのshadow=ハッシュが素で読める点が重要だったから、重視されなかった、かなぁ?
    という感想をえたのですが、どんなもんでしょう?
    
    --
    M-FalconSky (暑いか寒い)
    - Re:#2022222 のAC であるが。（was:Re:それは驚いた。 (スコア:1)
      
      by M-FalconSky (8868) <{MFalcon.Sky+slashdot} {at} {Gmail.com}> on 2011年09月20日 23時36分 (#2022370) ホームページ日記
      
      ぶ、追記
      > たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
      Mac OS Xに限らないで、一般的な防御方法という意味でよろしくorz
      
      --
      M-FalconSky (暑いか寒い)
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        しかも、Shadowを狙えばOSの認証系セキュリティログに残らないのでユーザー・管理者に気づかれないというメリットも。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる More ログイン

「Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

それは驚いた。 (スコア:0)

#2022222 のAC であるが。（was:Re:それは驚いた。 (スコア:1)

Re: (スコア:1)

Re:#2022222 のAC であるが。（was:Re:それは驚いた。 (スコア:1)

Re: (スコア:0)

スラド