パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる」記事へのコメント

  • by Anonymous Coward

    > パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

    可能性を言い出したらキリが無いわけですが。

    • ツリーが無駄にのびているようだが、別に釣りではないので言いたかったことを少しまとめてみる。
      # というか、こういう洒落すら通じないほどハイレベルな場所になってしまったのか(汗。
      では、もう少し引用を短くしてみよう。

      >ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解

      ハッシュを読むこと、と、BFA (総当り)に、何の関係があるんだい?
      このケースのBFA に必要なのはハッシュではなく、ユーザ名であって、
      ハッシュによって少し楽になるのはDA (辞書攻撃)ではないかのな?

      もちろん、可能性を可能な限り排除する、という考え方には賛成するものだけれども、
      shadow 化によってBFA を

      • 完全ではないにしても、たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
        で、パスワードをBFAするに現実的な時間で完了しないなら、それは解決策なんじゃないかな?

        あくまでアカウントリスト取得からBFAだけの視点で。

        で、ハッシュがとれるとですが、BFAするにして(つまりDAできないランダムで長いパスワードだったとして)もRainbowテーブルとの突き合せができるので、上記を回避しつつクラックすると。

        # たしかに皮肉というか洒落はあったと思うけど、要点は総当りより折角読めない位置にあるはずのshadow=ハッシュが素で読める点が重要だったから、重視されなかった、かなぁ?

        という感想をえたのですが、どんなもんでしょう?

        --
        M-FalconSky (暑いか寒い)
        親コメント
        • ぶ、追記

          > たとえば5回ミスしたらロックとか、n回目以降はwaitが入るとか普通にあるんじゃない?
          Mac OS Xに限らないで、一般的な防御方法という意味でよろしくorz

          --
          M-FalconSky (暑いか寒い)
          親コメント
          • by Anonymous Coward

            しかも、Shadowを狙えばOSの認証系セキュリティログに残らないのでユーザー・管理者に気づかれないというメリットも。

        • 真面目に考えたつもりなのだろうけれども、それ(可能性)とこれ(可能性の排除が可能か、の検証?かな?あなたの書き込みそのもの)とで、何が関係あって、何が違うんだい?

          雑談から始まって、#2022410のような興味深い枝が大きく成長するような感じが、昔のスラドだったよねえ。

          面白いかどうかは、棚上げして、

          >ツリーが無駄にのびているようだが、別に釣り(ツリー)ではないので

          というところに反応できる人が少数でも居たことが、無粋と認識するけれども、昔のスラドだったと思うのよ。
          現状は程度も低いし頭も固すぎる。

          洒落を洒落と見抜けない人は(略。
          以上、#2022222の人でした。

にわかな奴ほど語りたがる -- あるハッカー

処理中...