パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows 10 Insider Previewビルド10166提供開始、RTMの完成はいつ?」記事へのコメント

  • こりゃいい

    •  PIN サインイン自体は便利だと思います。タブレット端末で長いパスワードを毎回入力するとのは確かに面倒なので。

       しかし、Microsoft は 「パスワードは時代遅れです」「PIN はパスワードを使用するよりも速くて安全です」 [dekiru.net] なんて煽りをする前に、Microsoft アカウントでの Windows へのサインインは非常に危険 (TrueCrypt や BitLocker での HDD/SSD 暗号化時を除く)であるという真実を説明すべきだと思います。時代遅れなのは、GPGPUの急激な発展に伴ってハッシュ化されたパスワードが高速解析できるようになったという時代の流れに逆行して、Microsof

      • セットにもよると思うのですが
          * デバイスの識別子
          * PIN設定時にそのデバイス専用にした認証の個別ハッシュ(長いとなおよし)
              # 2要素時の個別パスワード的な、というかソルト別にするだけでも違うよな...
        とか作ってないかな...

        というか現状の素の認証の口をそのまま使うとは思えないんだけど、どっか資料ないですかね。

        # 情報が不足してるので、ここまで悪しく言うのもちょっとどうかと思う。判断保留。

        --
        M-FalconSky (暑いか寒い)
        • Windows 10 Forensics - AFENTIS FORENSICS [afentis.com] によると、

          The SAM and SYSTEM files are still stored under Windows\system32\config in W10 TP,  (中略) The passwords stored on the SAM and SYSTEM files are still stored in the same NT-Hash forms and contain the same user data.

          と、Windows 10 Technical Preview でも、これまでの OS と同様に NT-Hash(NTLMハッシュ、ソルト無しの MD4 ハッシュ)が保存されているようです。

          未だに MD4 の脆弱なハッシュを使うというのは、Windows 10 でも ネットワーク認証の互換性維持のため NTLMv2 認証を捨てられなかったということですから、PIN設定時にNTLMハッシュを削除するという実装はできないのです。

          Microsoft 的には、HDD/SSD の暗号化(BitLocker)を使えば良いという考えなのかもしれませんが、Windows Home では使えない [microsoft.com] のでホームユーザーは危険に晒されるということになりそうです。

          NTLMハッシュは、一般人が用意できる解析用マシン [dit.co.jp]で、8桁のランダムな英子文字のみなら3.5秒、8桁のランダムな英大小文字+数字(62文字種)でも1時間 [dit.co.jp]で解析(NTLMハッシュから生パスワードを割り出す解析)可能です。

          親コメント
          • by Anonymous Coward

            検証記事だとCPUはともかくGPUの方が4枚使ってるとはいえ今時のハイエンドと比べるといまいち見劣りする性能だし、クラックまでの時間はもっと短いんでしょうね。

            • by Anonymous Coward

              一般人が用意できるって、結構お金かかってませんか?これ一般人の使うやつかなー?GPUもそろそろ速度が頭打ちになってきたし、ブルートフォース以外の性能は速度がた落ちだし、小文字だけみたいな論外パスワードでなきゃ、結局手が出せるのって10文字いくかどうかじゃないですか?記号必須、最低15文字とか制限かけられたら、さすがのGPUクラッカーでも無理だと思うけどな。

              • by Anonymous Coward

                ここで言う「一般人」とは特別な団体や企業ではない、という意味でしょう。
                その辺の店で揃えられる物で可能ということ。

              • by Anonymous Coward

                AWSでGPUインスタンス時間借りできっからねぇ今・・・

              • by Anonymous Coward

                それ言うたら、スパコンと言われてるものでもその辺の店でそろえられないことはないがな。金さえあれば。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...