Windows 10 のログオンパスワードを、Unicode(UTF-16LE)に変換した後、MD4でハッシュ化(ソルト無し)したものがHDDに格納されたはずです。「RC4」が Windows のパスワードの格納に使われるという話は知りません。ネットワーク経由でのNTLM認証の暗号化には使われていたと思いますが。これは、非常に脆弱 [dit.co.jp]で、ランダムな英大小文字+数字(62文字種)8桁なら家庭用のPCで1.2時間で解読できてしまう程度のものです。しかし、ネットワークログオンの互換性を過去のOSと保つために必要なので、仕方がないのです。
そもそも共有に置くのがおかしい (スコア:5, 参考になる)
そもそも、NTTデータが必死こいて開発した管理用基幹システムからデータを抜いてExcelに落として、そのExcelを普通の共有サーバで皆で使っている時点でおかしい。パスワード云々の話じゃないだろう?
http://d.hatena.ne.jp/kibashiri/20150604/1433385727 [hatena.ne.jp]
Re: (スコア:2)
そもそも「ファイル」というのがエクセルファイルのことだとしたら、パスワードってツール使えば解除できなかったっけ?
昔パスワード忘れて困った時に何かブルートフォース的なツールでパスワード開けたような気がするのだが
Office 2007 以降の形式(docx, xlsx, pptx)なら安全 (スコア:5, すばらしい洞察)
Office 2003 以前の形式(doc, xls, ppt)であれば、ZIP(AES 256bit)よりも脆弱ですが、ZIP(ZipCrypto)よりは遥かに安全です。
Office 2007 以降の形式(docx, xlsx, pptx)であれば、ZIP(ZipCrypto)の約20万倍、ZIP(AES 256bit)の約45倍の強度があり、かなり安全で優秀な暗号化方式であるといえます。10桁のランダムな英大小文字+数字であればスパコンでも解析が困難、12桁であれば新たな脆弱性が発見されない限り不可能といえる強度です。「がんばれ!!ゲイツ君」が流行った時代とは異なり、最近の Microsoft はセキュリティに力を入れているのです。勿論、パスワード(パスフレーズ)の強度が低かったら駄目ですが、それはどんな暗号化形式であっても言えることです。
(参考: パスワードの最大解読時間測定 【暗号強度別】 [dit.co.jp])
Re: (スコア:0)
ところで、Windows10ではパスワードの格納方法はどうなるの?結局RC4+ソルト無しで変わらないの?
脆弱なままです (スコア:3)
Windows 10 のログオンパスワードを、Unicode(UTF-16LE)に変換した後、MD4でハッシュ化(ソルト無し)したものがHDDに格納されたはずです。「RC4」が Windows のパスワードの格納に使われるという話は知りません。ネットワーク経由でのNTLM認証の暗号化には使われていたと思いますが。これは、非常に脆弱 [dit.co.jp]で、ランダムな英大小文字+数字(62文字種)8桁なら家庭用のPCで1.2時間で解読できてしまう程度のものです。しかし、ネットワークログオンの互換性を過去のOSと保つために必要なので、仕方がないのです。
そもそも、ネットワーク経由でのログオンについては、ハッシュ化されたパスワードを抜き取れば生パスワードの解析不要で悪用できる [hatena.ne.jp] のですから、ハッシュの強度に関係なく、ハッシュ化されたパスワードを読み取ることができた時点で駄目なのです。Windows に限らず、物理的にHDDの内容にアクセスできる環境からの攻撃にOSのログオンパスワードは意味をなしませんから、TrueCryptかBitLockerでHDDを暗号化しておくとよいでしょう。