アカウント名:
パスワード:
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。# というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。では、もう少し引用を短くしてみよう。
>ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解
ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい?このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな?
もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、shadow 化によってBFA を
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
それは驚いた。 (スコア:0)
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
#2022222 のAC であるが。(was:Re:それは驚いた。 (スコア:1)
ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。
# というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。
では、もう少し引用を短くしてみよう。
>ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解
ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい?
このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、
ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな?
もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
shadow 化によってBFA を
Re:#2022222 のAC であるが。(was:Re:それは驚いた。 (スコア:2)
1. たまたまログイン状態で席を離れた誰かのMacからその人のパスワードのハッシュを盗ってくる
2. 家に帰って、自分のMacのパスワードテーブルのハッシュを、盗ってきたハッシュに書き換える
3. ログインが成功するまでゆっくりのんびり総当たりでパスワードを試す
4. 1の人のパスワードが分かる
2022222 さんが勘違いをされてるとしたら、「総当たり攻撃」=「2~3の工程を被害者の人のMacで試す事」と思い込んでらっしゃる辺り。それは、時間はかかるわ怪しい痕跡は残るわだから、他の方法で防ぎようがある。
そんなモロバレの間抜けな方法を使わず、↑みたいなバレにくい方法でも総当たり攻撃は可能なのでハッシュを盗られるのは危険。もちろん、↑も果てしなく間抜けなので、まともなプログラマならもうちょっとマシなパスワード解析方法を使う。わざわざログインを試さなくても、OSがパスワードとハッシュの一致を試す方法は広く知られてるので、その部分だけ繰り返し計算するプログラムを書けばよろしい。
ので、タレコミ文の、
>パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
は、「パスワードそのものを盗られた場合と違って、その瞬間から悪用されるものではない」、「盗ったのが悪意と熱意のある人間であればいずれ何らかの攻撃を受けうる」、「弱いパスワードだと辞書攻撃でその『いずれ』が早まりうる」と、ツッコミ所も弄り所も特にない適切なまとめ。
# なんか自分のidに似てたのでツッコミを禁じ得なかった。