アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
暗号化後の文字列がない場合 (スコア:2, 参考になる)
シャドウパスワードが導入されていてそれが困難な場合であっても、やはりパスワードの単純さや規則性の有無が解析のしやすさに関係するのでしょうか。
アタックの効率は落ちるでしょう。 (スコア:1)
のくだりがあることから、一般ユーザ権限で読み取れると
考えて問題ないでしょう。
shadowにしたからといって暗号強度が上がるわけでもありません。
が
では、shadowファイルが読めなかったら?
アタック手法に掛かる時間的コスト以外の点では
結局ブルートアタックを行うので、「解析しやすさ」に
変わりはないと思います。
ですがアタックの効率は落ちるでしょう。
お・そ・ら・く。
なぜか?
shadowファイルが読めた場合はその暗号化済列をつかって
パスワード候補→暗号化→shadowの内容とマッチング
という手順でブルートアタックされると考えられます。
一方、ファイルが読めなかった場合の
いくつかあるアタック手法中で効率がよさそうなのは
一般ユーザ権限からの○○コマンドをスレッド化してアタック
するものではないかと思います。
# 深くは突っ込まんでください
2つの手法を同じ計算資源を使って行ったと考えても
格段に前者のほうがコストが低いと考えられるので
アタック効率は落ちると思います。
Re:アタックの効率は落ちるでしょう。 (スコア:0)
その一般ユーザ権限はどうやって手に入れるんです?
自分のアカウントは使えないでしょ、すぐに足がつくから。
Re:アタックの効率は落ちるでしょう。 (スコア:1)
>自分のアカウントは使えないでしょ、すぐに足がつくから。
この場合は「一般ユーザ権限さえ手に入れれば…」と考えた方がよいのでは?
うじゃうじゃ
Re:暗号化後の文字列がない場合 (スコア:0)
(シャドウパスワードでもIDは/etc/passwdから取れる)
ただ、logに残るのと、(localに比べて)時間がかかるのであまり現実的じゃないですけど。