パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

  • by Anonymous Coward

    > パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

    可能性を言い出したらキリが無いわけですが。

    • by Anonymous Coward on 2011年09月21日 2時20分 (#2022411)

      いろんなコメントがついているが。

      総当りで解かれるということは、既に逆引き辞書が作られているということだぞ。

      passwd見てから、おもむろに総当りで破ろうとするわけではないぞ。

      わかった上での議論と思うが、念のため。

      親コメント
      • 総当たり攻撃するだけなら、都度生成すれば済むんではないですか?
        どうせ、2^ハッシュのビット数文の都度生成で済むんだし。
        今時のCPUやGPUをつかったら、非実用的な時間でもないでしょう。

        勿論その前に、既に解明されてるハッシュの一覧辞書やよく使われるキーワードの組み合わせから作成したハッシュ辞書でパターンマッチングして、どれにも一致しないのだけ総当たりに掛けて潰せば良い。

        # で、とけたら、「既に解明されてるハッシュの一覧辞書」に追加(´ー`)y-~

        そして、その手の辞書はアングラワールドには掃いて捨てるほど流通してる。脆弱なキーワード一覧から、具体的な乱数パスワードまで。

        ハッシュの生成/認証構造がMac独自?ならば、認証機構関連をリバースエンジニアリングして、そこらに転がってるGNU/LinuxやWindowsで動くようなクローンやクラッキングユニットを作れば良い。
        所詮、相手がOTPとか外部のワンタイムトークンに依存してない以上、それはそう難しくない(それをやり慣れてる人にとっては)

        まぁ、CPUとかGPUの資源だけが欲しければ十万弱で相当高速な物が手にはいる時代だし、その手のソフト専用に機械を廻しても、得られる経済的対価が大きく勝るのならばやる奴は少なからずいる。
        (そして、自分でカード喰うにしてもゾンビマシンを作ってさらなる悪事の踏み台を作るにしても、ただ単純にそこらへんのマフィアに売っぱらうにしても、大きな経済的対価が見込める世界みたいですし)

        親コメント
      • by Anonymous Coward

        言いたいことが良くわからないが、総当りの範囲を辞書にしようとしても現実的じゃないサイズになる。TとかPとかEとか。だから総当りで試すわけ。
        辞書なんてのは極々々一部なんだけど、それで数割とかいうレベルで当たるから使われる。
        しかしそれから漏れてたらどうしようもないから、あとはおもむろに総当りしかない。

        • by Anonymous Coward

          レインボーテーブルで調べてみてくれ
          ハッシュが漏れたら即解除というのは、すでに現実的なレベルなんだぞ?

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...