アカウント名:
パスワード:
こりゃいい
PIN サインイン自体は便利だと思います。タブレット端末で長いパスワードを毎回入力するとのは確かに面倒なので。
しかし、Microsoft は 「パスワードは時代遅れです」「PIN はパスワードを使用するよりも速くて安全です」 [dekiru.net] なんて煽りをする前に、Microsoft アカウントでの Windows へのサインインは非常に危険 (TrueCrypt や BitLocker での HDD/SSD 暗号化時を除く)であるという真実を説明すべきだと思います。時代遅れなのは、GPGPUの急激な発展に伴ってハッシュ化されたパスワードが高速解析できるようになったという時代の流れに逆行して、Microsof
危険というか、Windowsはオフラインでも使えるのが常識なんだから仕方ないじゃん。
TrueCryptとBitLockerだって総当りで攻略できるのは同じでしょ。そうでなくてもTrueCryptはやたら完成度が高い割に作っている人が行方不明という謎ソフトなのに。暗号化して安心したつもりが、裏口があったらどうするよ。
それよか未使用時は鍵のかかるロッカーに入れるとかUSBポートとケースをロックするとか物理的な手段も考えたほうがいいよ。
あとね、オンラインに保存している情報なんてサーバーの管理者はいつでも見られるんだから気にしすぎるのもどうよ。センシティブな個人情報が流出しても「悪用は確認されていない」で済まされるでしょ。Microsoftアカウントに紐付けた時点で全人類と共有しているぐらいの大らかな気持ちで使うべき。
未だに過去のOSとのネットワークログオンの互換性を捨てきれず MD4 という脆弱なハッシュを保存していること、Microsoft アカウントのパスワードとOSのログオンパスワードを同一にしたことが問題なのです。
TrueCryptはやたら完成度が高い割に作っている人が行方不明という謎ソフトなのに。 暗号化して安心したつもりが、裏口があったらどうするよ。
TrueCrypt はオープンソースのソフトで、大勢の人によって、安全性の監査が行われています。代表的なところは、OpenCryptAudit [opencryptoaudit.org]ですが、開発が中止された TrueCrypt 7.1 に未だに脆弱性・バックドアは見つかっていません。
TrueCryptほど、国家やスパイ組織にとって都合の悪いソフトはなかなかないので、大勢の人が躍起になって脆弱性やバックドアを探したと思われますが、それでもそれが見つかっていないのです。これほど安全なソフトはなかなか無いのでは? それでも、「裏口があるかもしれない」と警戒されるのでしたら、どんな商用ソフトにも同様のことが言えるでしょう。
TrueCryptとBitLockerだって総当りで攻略できるのは同じでしょ。
TrueCrypt の暗号・ハッシュアルゴリズムは極めて強力で、パスフレーズがよっぽど脆弱でない限り、NSA規模の組織がスパコンを用いたとしても解読できないのです。暗号化アルゴリズムは公開されている一般的なもので、AES, Serpent, Twofish(いずれも鍵長256ビット、ブロック長128ビット)の単独使用あるいは AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES, Twofish-Serpentのカスケード方式の計8種類が選べます。いずれも極めて強力なものです。同様に、パスフレーズのハッシュアルゴリズム・ストレッチングも極めて強力です。
一方、Windows 10 のNTLMハッシュは、Windows 10 でも NTLMハッシュ(ソルト無しの MD4)が保存される [it.srad.jp] に詳しく書きましたが、一般人が用意できる解析用マシンで、8桁のランダムな英子文字のみなら3.5秒、8桁のランダムな英大小文字+数字(62文字種)でも1時間で解析(NTLMハッシュから生パスワードを割り出す解析)可能なもので、次元が異なる話です。
BitLocker は、AES 128 bit(CUIによる設定で256bitも可)で、4桁の数字などの脆弱なPINの利用であっても TPM の併用で安全な仕様となっています。TrueCrypt よりは安全性が落ちますが、現実的な時間での解析は現時点では不可能なことに変わりありません。
あとね、オンラインに保存している情報なんてサーバーの管理者はいつでも見られるんだから気にしすぎるのもどうよ。 センシティブな個人情報が流出しても「悪用は確認されていない」で済まされるでしょ。 Microsoftアカウントに紐付けた時点で全人類と共有しているぐらいの大らかな気持ちで使うべき。
確かに、その通りかもしれません。
2点。TrueCryptをソースからコンパイルして使ってます?TrueCtyptをメンテ放棄されてるという認識ですが、脆弱性を放置されるっていう認識であってますか?
要は、ローカルPCのパスワードとMSアカウントのパスワードを分けられればひとまず大丈夫ってこと?取り敢えずMSにそういう要望送っとけばいいかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
PINログインいいっすね (スコア:0)
こりゃいい
Microsoft アカウントでの Windows へのサインインは非常に危険 (スコア:4, すばらしい洞察)
PIN サインイン自体は便利だと思います。タブレット端末で長いパスワードを毎回入力するとのは確かに面倒なので。
しかし、Microsoft は 「パスワードは時代遅れです」「PIN はパスワードを使用するよりも速くて安全です」 [dekiru.net] なんて煽りをする前に、Microsoft アカウントでの Windows へのサインインは非常に危険 (TrueCrypt や BitLocker での HDD/SSD 暗号化時を除く)であるという真実を説明すべきだと思います。時代遅れなのは、GPGPUの急激な発展に伴ってハッシュ化されたパスワードが高速解析できるようになったという時代の流れに逆行して、Microsof
Re: (スコア:0)
危険というか、Windowsはオフラインでも使えるのが常識なんだから仕方ないじゃん。
TrueCryptとBitLockerだって総当りで攻略できるのは同じでしょ。
そうでなくてもTrueCryptはやたら完成度が高い割に作っている人が行方不明という謎ソフトなのに。
暗号化して安心したつもりが、裏口があったらどうするよ。
それよか未使用時は鍵のかかるロッカーに入れるとかUSBポートとケースをロックするとか物理的な手段も考えたほうがいいよ。
あとね、オンラインに保存している情報なんてサーバーの管理者はいつでも見られるんだから気にしすぎるのもどうよ。
センシティブな個人情報が流出しても「悪用は確認されていない」で済まされるでしょ。
Microsoftアカウントに紐付けた時点で全人類と共有しているぐらいの大らかな気持ちで使うべき。
Re:Microsoft アカウントでの Windows へのサインインは非常に危険 (スコア:2)
未だに過去のOSとのネットワークログオンの互換性を捨てきれず MD4 という脆弱なハッシュを保存していること、Microsoft アカウントのパスワードとOSのログオンパスワードを同一にしたことが問題なのです。
TrueCrypt はオープンソースのソフトで、大勢の人によって、安全性の監査が行われています。代表的なところは、OpenCryptAudit [opencryptoaudit.org]ですが、開発が中止された TrueCrypt 7.1 に未だに脆弱性・バックドアは見つかっていません。
TrueCryptほど、国家やスパイ組織にとって都合の悪いソフトはなかなかないので、大勢の人が躍起になって脆弱性やバックドアを探したと思われますが、それでもそれが見つかっていないのです。これほど安全なソフトはなかなか無いのでは? それでも、「裏口があるかもしれない」と警戒されるのでしたら、どんな商用ソフトにも同様のことが言えるでしょう。
TrueCrypt の暗号・ハッシュアルゴリズムは極めて強力で、パスフレーズがよっぽど脆弱でない限り、NSA規模の組織がスパコンを用いたとしても解読できないのです。暗号化アルゴリズムは公開されている一般的なもので、AES, Serpent, Twofish(いずれも鍵長256ビット、ブロック長128ビット)の単独使用あるいは AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES, Twofish-Serpentのカスケード方式の計8種類が選べます。いずれも極めて強力なものです。同様に、パスフレーズのハッシュアルゴリズム・ストレッチングも極めて強力です。
一方、Windows 10 のNTLMハッシュは、Windows 10 でも NTLMハッシュ(ソルト無しの MD4)が保存される [it.srad.jp] に詳しく書きましたが、一般人が用意できる解析用マシンで、8桁のランダムな英子文字のみなら3.5秒、8桁のランダムな英大小文字+数字(62文字種)でも1時間で解析(NTLMハッシュから生パスワードを割り出す解析)可能なもので、次元が異なる話です。
BitLocker は、AES 128 bit(CUIによる設定で256bitも可)で、4桁の数字などの脆弱なPINの利用であっても TPM の併用で安全な仕様となっています。TrueCrypt よりは安全性が落ちますが、現実的な時間での解析は現時点では不可能なことに変わりありません。
確かに、その通りかもしれません。
Re: (スコア:0)
2点。
TrueCryptをソースからコンパイルして使ってます?
TrueCtyptをメンテ放棄されてるという認識ですが、脆弱性を放置されるっていう認識であってますか?
Re: (スコア:0)
要は、ローカルPCのパスワードとMSアカウントのパスワードを分けられればひとまず大丈夫ってこと?
取り敢えずMSにそういう要望送っとけばいいかな?