アカウント名:
パスワード:
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
攻撃者のローカル側で総当りを試せるので、認証失敗時のアカウントロック等で総当り攻撃を制限する方法の意味がなくなるといったところでしょうか。
単純にハッシュの強度に依存することになるので、今後のプロセッサ技術の進歩により、セキュリティが弱くなる可能性がありそうです。
Pentium Proでjohn the ripperぶん回してた頃を思い出す最近はSHA-512とかだろうから分散なりしないと無理だろね
この記事についての検証じゃないですかw仕事早すぎ
その記事の前半部分は,このストーリとは独立した話題と考えた方がよさそうです。元ネタとなっている http://www.defenceindepth.net/2009/12/cracking-os-x-passwords.html [defenceindepth.net] は 2009年12月時点のもので,ハッシュ値の取得には root 権限が必要です。
このストーリの元ネタになっている http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html [defenceindepth.net] では,SHA-512 の場合で解説されていますが,ShadowHashData の冒頭に
53414c5445442d534841353132S A L T E D - S H A 5 1 2
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
それは驚いた。 (スコア:0)
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
Re: (スコア:0)
攻撃者のローカル側で総当りを試せるので、認証失敗時のアカウントロック等で総当り攻撃を制限する方法の意味がなくなるといったところでしょうか。
単純にハッシュの強度に依存することになるので、今後のプロセッサ技術の進歩により、セキュリティが弱くなる可能性がありそうです。
Re: (スコア:0)
shadowなんて取られたら分散処理でいくらでも並列化して辞書攻撃できますから
Re: (スコア:0)
Pentium Proでjohn the ripperぶん回してた頃を思い出す
最近はSHA-512とかだろうから分散なりしないと無理だろね
Re:それは驚いた。 (スコア:1, 参考になる)
Re: (スコア:0)
この記事についての検証じゃないですかw
仕事早すぎ
Re: (スコア:0)
その記事の前半部分は,このストーリとは独立した話題と考えた方がよさそうです。元ネタとなっている
http://www.defenceindepth.net/2009/12/cracking-os-x-passwords.html [defenceindepth.net]
は 2009年12月時点のもので,ハッシュ値の取得には root 権限が必要です。
このストーリの元ネタになっている
http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html [defenceindepth.net]
では,SHA-512 の場合で解説されていますが,ShadowHashData の冒頭に