パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

それでも「Passport」に登録しますか?」記事へのコメント

  • 今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

    今回問題にされているのは、

    過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。
    しかし、Passportの登場によって、ログイン情報の魅力は

    • ちょっとツッコミ。

      >これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

      ごく古いUnixならそうかもしれませんね。
      現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
      脆弱性にはならないと思いますけど。
      #shadowでの暗号化は一方向の暗号化であって、それからpasswordを
      #再現するのはとんでもない計算量が必要なはずで、
      #時間的に不可能だから。
      #・・・と思うのですけど、記憶怪しいかもしれません(汗)。
      #間違
      --
      ---- redbrick
      • by Anonymous Coward on 2001年12月23日 10時04分 (#49228)
        私が Unix を使い始めたのはここ 10 年くらいなので
        古い話はよく知らないのですが、
        「ごく古い Unix」では /etc/passwd に Password が平文で
        書かれていたのですか?
        私が知る限り、Password は Scramble されていたと思います。

        ただ、その Scramble された結果が、
        誰でも読める /etc/passwd に書かれていたので、
        Dictionary Attack や Brute Force Attack されてしまう
        危険があるために、Scramble された Password は
        読み込み制限のかかった Shadow File に書かれるように
        なったのですよね?
        親コメント
        • 私も話でしか知らない部分ですが、/etc/passwdは、

          root,600,plain pass

          root,644,scrambled pass

          root,644,passフィールドなし、root,600な別ファイルにscrambled pass

          みたいな流れだったかと。

          まぁなんにせよ、今のところ、暗号化は安全を保障するものではないですからねぇ。
          --
          よく「読めない」といわれるLiberdade
          親コメント
          • by Nowake (5100) on 2001年12月23日 10時56分 (#49237)
            ユーザーが走らせたプログラムでパスワードファイルの中身は取れない、
            と言うことでいいんですよね?

            そういや、unixでも「suコマンドか何かに擬態して、管理者権限に 移行するときにパスワードを盗み取る」プログラムとかあったらしいですね。
            #./をpathに入れるなとさんざん怒られた記憶があります。
            親コメント
          • そもそもパスワードを設定しないのが "リベラルでかっこいい"
            という感じの時代もありました.
        • by mishima (737) on 2001年12月23日 11時05分 (#49240) ホームページ 日記
          むかしの passwd は暗号化アルゴリズムが DES で、
          しかもパスワード自体も 8 文字までだった。
          いまは MD5 ハッシュを使ってる (使ってない Unix もあるけど)。
          8 文字以上のパスワードも使える。
          「パスワード自体の強度」というユーザに依存する点を除けば、
          システムとしての強度は上がってると思うが。
          --
          # mishimaは本田透先生を熱烈に応援しています
          親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...