パスワードを忘れた? アカウント作成
13502256 journal
日記

DanDaDanの日記: macOS 10.13.2:パスワードが正しければユーザー名無視?? 3

日記 by DanDaDan

徳丸先生のつぶやきから..

macOS 10.13.2 High Sierraのシステム環境設定にパスワードが正しければユーザー名が無視され設定を変更できる不具合。
https://applech2.com/archives/20180114-high-sierra-any-user-accept.html

これって、ユーザー名とパスワードを同時に変えていけば、認証ブルートフォースOKってことなのかしらん。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年01月14日 22時22分 (#3344450)

    試してみました。
    [Users & Groups]からログインユーザの設定している起動項目をいじることも可能でした。
    そしてログインパスワードも変更可能でした。
    どうやら、現在ログインしているユーザであればその設定をパスワードのみでどうこうできるようです。

    パスワードが漏れていなければ、どうということはないです。パスワードが漏れていなければ、です!!
    漏れていれば、DEATH!!

    • および、操作時点で管理者権限を持つユーザーがログインしていないといえないから、
      かつ macOS では root そのものはログインできないように設定されているので、考えられるのは
      1. マルチユーザーモードで、裏で管理者権限を持つユーザーがログインしていた。
      2. 管理者権限を持つユーザー自身で(シングル)ログイン中。

      2 のケースは管理者としてログインしているのだから、正しい動作と違いは無い。
      1 のケースで、マルチログインしている非管理者ユーザーが、管理者ユーザーの名前は知らないけど、パスワードを知っている。という時に問題発生。

      けどなぁ。

      なお、GUI ツールのバグであって、コマンドライン等伝統的 UNIX ツールそのものには問題は無いので、ブルートフォースアタックは無理そう

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...