パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

大学パスワード管理の現状」記事へのコメント

  • もと記事で試されていた解析方法は、暗号化後のパスワード文字列が一般ユーザ権限で読みとれることを前提にしていると理解しました。

    シャドウパスワードが導入されていてそれが困難な場合であっても、やはりパスワードの単純さや規則性の有無が解析のしやすさに関係するのでしょうか。
    • 今回は「セキュリティに甘いところがあり・・・」
      のくだりがあることから、一般ユーザ権限で読み取れると
      考えて問題ないでしょう。

      shadowにしたからといって暗号強度が上がるわけでもありません。

      では、shadowファイルが読めなかったら?

      アタック手法に掛かる時間的コスト以外の点では
      結局ブルートアタックを行うので、「解析しやすさ」に
      変わりはないと思います。

      ですがアタックの効率は落ちるでしょう。
      お・そ・ら・く。

      なぜか?
      shadowファイルが読めた場合はその暗号化済列をつかって
       パスワード候補→暗号化→shadowの内容とマッチング
      という手順でブルートアタックされると考えられます。

      一方、ファイルが読めなかった場合の
      いくつかあるアタック手法中で効率がよさそうなのは
      一般ユーザ権限からの○○コマンドをスレッド化してアタック
      するものではないかと思います。
      # 深くは突っ込まんでください

      2つの手法を同じ計算資源を使って行ったと考えても
      格段に前者のほうがコストが低いと考えられるので
      アタック効率は落ちると思います。
      親コメント

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...