DanDaDanの日記: macOS 10.13.2:パスワードが正しければユーザー名無視?? 3
日記 by
DanDaDan
徳丸先生のつぶやきから..
macOS 10.13.2 High Sierraのシステム環境設定にパスワードが正しければユーザー名が無視され設定を変更できる不具合。
https://applech2.com/archives/20180114-high-sierra-any-user-accept.html
これって、ユーザー名とパスワードを同時に変えていけば、認証ブルートフォースOKってことなのかしらん。
もっと簡単に可能なようです (スコア:0)
試してみました。
[Users & Groups]からログインユーザの設定している起動項目をいじることも可能でした。
そしてログインパスワードも変更可能でした。
どうやら、現在ログインしているユーザであればその設定をパスワードのみでどうこうできるようです。
パスワードが漏れていなければ、どうということはないです。パスワードが漏れていなければ、です!!
漏れていれば、DEATH!!
操作者が管理者パスワードを知っている時点で... (スコア:0)
および、操作時点で管理者権限を持つユーザーがログインしていないといえないから、
かつ macOS では root そのものはログインできないように設定されているので、考えられるのは
1. マルチユーザーモードで、裏で管理者権限を持つユーザーがログインしていた。
2. 管理者権限を持つユーザー自身で(シングル)ログイン中。
2 のケースは管理者としてログインしているのだから、正しい動作と違いは無い。
1 のケースで、マルチログインしている非管理者ユーザーが、管理者ユーザーの名前は知らないけど、パスワードを知っている。という時に問題発生。
けどなぁ。
なお、GUI ツールのバグであって、コマンドライン等伝統的 UNIX ツールそのものには問題は無いので、ブルートフォースアタックは無理そう
Re:操作者が管理者パスワードを知っている時点で... (スコア:1)
そうですね。言われて納得。
GUIでやるにはツールが必要ですね。
“人生の大半の問題はスルーカで解決できる...