パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

  • by Anonymous Coward

    > パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

    可能性を言い出したらキリが無いわけですが。

    • by Anonymous Coward

      攻撃者のローカル側で総当りを試せるので、認証失敗時のアカウントロック等で総当り攻撃を制限する方法の意味がなくなるといったところでしょうか。

      単純にハッシュの強度に依存することになるので、今後のプロセッサ技術の進歩により、セキュリティが弱くなる可能性がありそうです。

      • by Anonymous Coward

        ローカルで総当たり・・・つまりハードウェアを盗んでじっくりパスワードの解読が出来るってこと?
        まずローカルにアクセス出来るってことは・・・セキュリティ的にはあれだがw

        管理者権限でいつもログインしている自分は関係ないかwww

        • Re: (スコア:2, 興味深い)

          by Anonymous Coward

          ハードウェア盗まなくても、Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性があるということです(最悪リモートからも)。そして、取得されちゃったハッシュは「攻撃者のローカルなコンピュータ」で気の済むまで解析されちゃう可能性があるってことです。

          今だから白状するけど、昔NEXTSTEPのNetinfoシステムも、デフォルトの設定だとリモートからアクセスできて、パスワードハッシュが取れたことがありました。ファイヤーウォールがないと、スコーンとアクセスできちゃいました。で、クラックコードはしらせたら、短いパスワードは解析できちゃってビビッた覚えがあります。

          • by Anonymous Coward

            >Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性がある

            そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
            そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

            まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw

            • by Anonymous Coward on 2011年09月21日 10時39分 (#2022487)

              > そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・

              クラッカーは、多くは奇妙で特殊なひとだよ(^_^;)。

              > そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。

              そんな馬鹿なWebアプリでも、今まではハッシュまでは取られることがなかったのに、
              Lionになってとられる可能性がでてきたので、どうよ、っていうことではないでしょうか?

              昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。
              クライアントで使ってる分にはいいのかなぁ..
              .(まあ、ちょっといやだけど、考え方は人それぞれだし、それは尊重しますよ :-)。

              親コメント
              • by Anonymous Coward

                > 昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。

                Mach(Darwin)のMach-Portへのアクセス権はケーパビリティベースのセキュリティをとってる。
                したがって、動かすプログラムによって、ブートストラップ名前空間をかえて、
                権限をしぼったりできるようになってるかもしれない。
                Technical Note TN2083:デーモンとエージェント [apple.com]
                好意的解釈だけど...。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...