パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

  • by Anonymous Coward

    > パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

    可能性を言い出したらキリが無いわけですが。

    • ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。
      # というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。
      では、もう少し引用を短くしてみよう。

      >ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解

      ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい?
      このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、
      ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな?

      もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
      shadow 化によってBFA を

      • ものすごく素朴な所からスタートすると、例えばこんなことが出来るというイメージ。

        1. たまたまログイン状態で席を離れた誰かのMacからその人のパスワードのハッシュを盗ってくる
        2. 家に帰って、自分のMacのパスワードテーブルのハッシュを、盗ってきたハッシュに書き換える
        3. ログインが成功するまでゆっくりのんびり総当たりでパスワードを試す
        4. 1の人のパスワードが分かる

        2022222 さんが勘違いをされてるとしたら、「総当たり攻撃」=「2~3の工程を被害者の人のMacで試す事」と思い込んでらっしゃる辺り。それは、時間はかかるわ怪しい痕跡は残るわだから、他の方法で防ぎようがある。

        そんなモロバレの間抜けな方法を使わず、↑みたいなバレにくい方法でも総当たり攻撃は可能なのでハッシュを盗られるのは危険。もちろん、↑も果てしなく間抜けなので、まともなプログラマならもうちょっとマシなパスワード解析方法を使う。わざわざログインを試さなくても、OSがパスワードとハッシュの一致を試す方法は広く知られてるので、その部分だけ繰り返し計算するプログラムを書けばよろしい。

        ので、タレコミ文の、

        >パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

        は、「パスワードそのものを盗られた場合と違って、その瞬間から悪用されるものではない」、「盗ったのが悪意と熱意のある人間であればいずれ何らかの攻撃を受けうる」、「弱いパスワードだと辞書攻撃でその『いずれ』が早まりうる」と、ツッコミ所も弄り所も特にない適切なまとめ。

        # なんか自分のidに似てたのでツッコミを禁じ得なかった。
        親コメント

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...