nemui4の日記: ハッシュ化されたパスワード 8
日記 by
nemui4
詳しい仕組みを理解していないけど、loignパスワードが crypt でしたっけ、でハッシュ化されたのが記録されていて。
例えば getent passwd user とかするとハッシュ化されたパスワードが見える。
でもそれが個人情報だかセキュリティだかの流出になるかもしれないから見えないようにするか、見せないようにしろ。
と言われて、ソレすぐに復元できる?って聞いたら
できるよ!
って言われて。
じゃあやって、って言ったらもにょられて終わってた。
桁数が低いとかで強度?が低ければがんばればできるという話はきいたことあったけど、やっぱりよく知らない。
そして、しばらくぶりにその人からMLに投稿されてるのメールの中に。
他のユーザを getent した結果が書き込まれていて、なんだもう見せても良くなったのかと思った次第。
とりあえず (スコア:0)
レインボーテーブルとソルトは知っておくべき。
https://ja.wikipedia.org/wiki/%E3%83%AC%E3%82%A4%E3%83%B3%E3%83%9C%E3%... [wikipedia.org]
Re:こいつの話はいつもイミフ (スコア:1)
お怒りのところすみません、書いてなかったけどLDAPは使ってないです、shadowは使っている狭い社内だけで使うドニッチな環境です。
loginサーバーはほぼ固定、別ドメインを利用したいユーザがいれば shadow ごと転送して利用。
よく知らないけどバブル以前から使われているはずで、Solaris8(VM?)もどこかに生き残っているレガシーな環境なので、古い制限が生き残ってる。
古い顧客との契約で検証用に残しておかないといけないらしい。
Re: (スコア:0)
たぶん、バブル崩壊直後ぐらいのシステムだと思う。隔離環境に置くべきシステムだ。
ハッシュの衝突は、出来なくは無いだろうけど止めた方が良い。
リプレースが一番。
Re:こいつの話はいつもイミフ (スコア:1)
外部には繋げない閉じた開発環境。
成果物のみエクスポートしてた。
参加した頃に聞いた話では、顧客との契約上そうなっているらしい。
Re:こいつの話はいつもイミフ (スコア:1)
> たとえ25年以上前の古の処理系ですらshadow使ってないとかありえない。
shadow使うのが当たり前といえるようになったのは20年ぐらい前からだよ。
shadow はライセンスが明確でなかったので、Linuxのようなオープンソースライセンス(って言葉も当時は無かったね)の一部として配布していいのか、商用パッケージに入れるとどうなるのとかが不明確。
メンテナ変わって、Linuxでも標準的に入れようというような話が盛り上がったのが1996年
それ以後も、入れるか入れないかはユーザー選択だし、入れると起動しなくなるソフトも多かったので、Linuxで shadowが当たり前になるまでには、それから2、3年かかったよ。
もちろん25年以上前でも、使ってる環境が無かったわけじゃないけど、当たり前ではなかった。
Re:こいつの話はいつもイミフ (スコア:1)
>25年以上前
過渡期のピークかな。
NEWS-OS たぶん非既定値
HP-UX たぶん非既定値
LUNA-OSよく覚えていないけどたぶん非既定値
SunOS(Solaris 2.x) 既定値
IRIX よく覚えていないけどたぶん既定値
FreeBSD 2.x/3.x たぶん非既定値 4.x以降は変わったかも?
AIX たぶん既定値
KubotaやDEC(Ultrix)などは触ったことがないのでまるで知らない。
事実誤認の指摘大歓迎。
当時事実上の業界標準筆頭だったSunの最新型だけに囲まれている環境ならば
当たり前だったということは頷けるのだがそうでないと違うんじゃないかな?
Re:こいつの話はいつもイミフ (スコア:1)
HP-UXもありましたね、今は設備老朽化で無くなったけど。