パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

それでも「Passport」に登録しますか?」記事へのコメント

  • 今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

    今回問題にされているのは、

    過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。
    しかし、Passportの登場によって、ログイン情報の魅力は

    • ちょっとツッコミ。

      >これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

      ごく古いUnixならそうかもしれませんね。
      現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
      脆弱性にはならないと思いますけど。
      #shadowでの暗号化は一方向の暗号化であって、それからpasswordを
      #再現するのはとんでもない計算量が必要なはずで、
      #時間的に不可能だから。
      #・・・と思うのですけど、記憶怪しいかもしれません(汗)。
      #間違
      --
      ---- redbrick
      • > #shadowでの暗号化は一方向の暗号化であって、それかpassworを
        > #再現するのはとんでもない計算量が必要なはずで、
        > #時間的に不可能だから。

        あり得るパスワードを想定して同じ一方向性関数にかけて一致判定をする処理を繰り返すという攻撃方法がありますよ。 Crack [dircon.co.uk] とかご存じないですか?

        平文よりは暗号化した方がもちろんよいわけですが、暗号化したところで本質的に防げるわけではありません。論点を単純にするため(古いUNIXにおける) /etc/passwd を例に挙げました。元記事の最大の論点は、Passportほどの重大な情報を預かるシステムで、パス

        • by Anonymous Coward on 2001年12月23日 10時23分 (#49233)
          > 平文よりは暗号化した方がもちろんよいわけですが、
          > 暗号化したところで本質的に防げるわけではありません。

          それはそうです。
          そんな「本質的に防ぐ」なんて無理じゃないでしょうか。

          要は、Security を突破する Cost が、
          突破したことによって得られる利益よりも
          高ければいいのですよ。

          もしくはその System の Security を突破する Cost が、
          その他の System の Security を突破するものより
          高ければいいのです。
          空巣に入られたくなければ、隣の家よりちょっとだけ
          戸締りをしっかりすればいいのです。
          熊より早く走れなくてもいい。
          一緒に逃げている友人より早く走れればいいのです。:-)
          親コメント

にわかな奴ほど語りたがる -- あるハッカー

処理中...