パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

  • by Anonymous Coward

    > パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

    可能性を言い出したらキリが無いわけですが。

    • by Anonymous Coward

      いろんなコメントがついているが。

      総当りで解かれるということは、既に逆引き辞書が作られているということだぞ。

      passwd見てから、おもむろに総当りで破ろうとするわけではないぞ。

      わかった上での議論と思うが、念のため。

      • 総当たり攻撃するだけなら、都度生成すれば済むんではないですか?
        どうせ、2^ハッシュのビット数文の都度生成で済むんだし。
        今時のCPUやGPUをつかったら、非実用的な時間でもないでしょう。

        勿論その前に、既に解明されてるハッシュの一覧辞書やよく使われるキーワードの組み合わせから作成したハッシュ辞書でパターンマッチングして、どれにも一致しないのだけ総当たりに掛けて潰せば良い。

        # で、とけたら、「既に解明されてるハッシュの一覧辞書」に追加(´ー`)y-~

        そして、その手の辞書はアングラワールドには掃いて捨てるほど流通してる。脆弱なキーワード一覧から、具体的な乱数パスワードまで。

        ハッシュの生成/認証構造がMac独自?ならば、認証機構関連をリバースエンジニアリングして、そこらに転がってるGNU/LinuxやWindowsで動くようなクローンやクラッキングユニットを作れば良い。
        所詮、相手がOTPとか外部のワンタイムトークンに依存してない以上、それはそう難しくない(それをやり慣れてる人にとっては)

        まぁ、CPUとかGPUの資源だけが欲しければ十万弱で相当高速な物が手にはいる時代だし、その手のソフト専用に機械を廻しても、得られる経済的対価が大きく勝るのならばやる奴は少なからずいる。
        (そして、自分でカード喰うにしてもゾンビマシンを作ってさらなる悪事の踏み台を作るにしても、ただ単純にそこらへんのマフィアに売っぱらうにしても、大きな経済的対価が見込める世界みたいですし)

        親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...