アカウント名:
パスワード:
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
攻撃者のローカル側で総当りを試せるので、認証失敗時のアカウントロック等で総当り攻撃を制限する方法の意味がなくなるといったところでしょうか。
単純にハッシュの強度に依存することになるので、今後のプロセッサ技術の進歩により、セキュリティが弱くなる可能性がありそうです。
Pentium Proでjohn the ripperぶん回してた頃を思い出す最近はSHA-512とかだろうから分散なりしないと無理だろね
この記事についての検証じゃないですかw仕事早すぎ
その記事の前半部分は,このストーリとは独立した話題と考えた方がよさそうです。元ネタとなっている http://www.defenceindepth.net/2009/12/cracking-os-x-passwords.html [defenceindepth.net] は 2009年12月時点のもので,ハッシュ値の取得には root 権限が必要です。
このストーリの元ネタになっている http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html [defenceindepth.net] では,SHA-512 の場合で解説されていますが,ShadowHashData の冒頭に
53414c5445442d534841353132S A L T E D - S H A 5 1 2
MMORPGなどのネットゲームに解析組み込んでおけば、CPU/GPU共にハイスペックなマシンで分散コンピューティングできるからあっと言う間に解析できそう。ゲームやってる側は、「やっぱこのゲーム、負荷たけーな。もっといいグラボにするか」とかで勝手にスペック上げてくれそうですし。
ローカルで総当たり・・・つまりハードウェアを盗んでじっくりパスワードの解読が出来るってこと?まずローカルにアクセス出来るってことは・・・セキュリティ的にはあれだがw
管理者権限でいつもログインしている自分は関係ないかwww
ハードウェア盗まなくても、Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性があるということです(最悪リモートからも)。そして、取得されちゃったハッシュは「攻撃者のローカルなコンピュータ」で気の済むまで解析されちゃう可能性があるってことです。
今だから白状するけど、昔NEXTSTEPのNetinfoシステムも、デフォルトの設定だとリモートからアクセスできて、パスワードハッシュが取れたことがありました。ファイヤーウォールがないと、スコーンとアクセスできちゃいました。で、クラックコードはしらせたら、短いパスワードは解析できちゃってビビッた覚えがあります。
>Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性がある
そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。
まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw
>そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・>そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。
そんな単純な話で済んだら、ネットセキュリティの世界は平和になるんだろうなあ。無知って本人だけは幸せでいいですよね。
>まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・>そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw
マルウェアで解析までさせちゃうんじゃないの?解析済みのパスワードをせっせと外部サーバに送信して、外部から侵入し
Mac OS XのユーザIDとStoreのIDは全くの別物ですよ
> そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
クラッカーは、多くは奇妙で特殊なひとだよ(^_^;)。
> そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。
そんな馬鹿なWebアプリでも、今まではハッシュまでは取られることがなかったのに、Lionになってとられる可能性がでてきたので、どうよ、っていうことではないでしょうか?
昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。クライアントで使ってる分にはいいのかなぁ...(まあ、ちょっといやだけど、考え方は人それぞれだし、それは尊重しますよ :-)。
> 昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。
Mach(Darwin)のMach-Portへのアクセス権はケーパビリティベースのセキュリティをとってる。したがって、動かすプログラムによって、ブートストラップ名前空間をかえて、権限をしぼったりできるようになってるかもしれない。Technical Note TN2083:デーモンとエージェント [apple.com]好意的解釈だけど...。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
それは驚いた。 (スコア:0)
> パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。
可能性を言い出したらキリが無いわけですが。
Re:それは驚いた。 (スコア:0)
攻撃者のローカル側で総当りを試せるので、認証失敗時のアカウントロック等で総当り攻撃を制限する方法の意味がなくなるといったところでしょうか。
単純にハッシュの強度に依存することになるので、今後のプロセッサ技術の進歩により、セキュリティが弱くなる可能性がありそうです。
Re: (スコア:0)
shadowなんて取られたら分散処理でいくらでも並列化して辞書攻撃できますから
Re: (スコア:0)
Pentium Proでjohn the ripperぶん回してた頃を思い出す
最近はSHA-512とかだろうから分散なりしないと無理だろね
Re:それは驚いた。 (スコア:1, 参考になる)
Re: (スコア:0)
この記事についての検証じゃないですかw
仕事早すぎ
Re: (スコア:0)
その記事の前半部分は,このストーリとは独立した話題と考えた方がよさそうです。元ネタとなっている
http://www.defenceindepth.net/2009/12/cracking-os-x-passwords.html [defenceindepth.net]
は 2009年12月時点のもので,ハッシュ値の取得には root 権限が必要です。
このストーリの元ネタになっている
http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html [defenceindepth.net]
では,SHA-512 の場合で解説されていますが,ShadowHashData の冒頭に
Re: (スコア:0)
MMORPGなどのネットゲームに解析組み込んでおけば、CPU/GPU共にハイスペックなマシンで分散コンピューティングできるから
あっと言う間に解析できそう。
ゲームやってる側は、「やっぱこのゲーム、負荷たけーな。もっといいグラボにするか」とかで勝手にスペック上げてくれそうですし。
Re: (スコア:0)
ローカルで総当たり・・・つまりハードウェアを盗んでじっくりパスワードの解読が出来るってこと?
まずローカルにアクセス出来るってことは・・・セキュリティ的にはあれだがw
管理者権限でいつもログインしている自分は関係ないかwww
Re:それは驚いた。 (スコア:2, 興味深い)
ハードウェア盗まなくても、Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性があるということです(最悪リモートからも)。そして、取得されちゃったハッシュは「攻撃者のローカルなコンピュータ」で気の済むまで解析されちゃう可能性があるってことです。
今だから白状するけど、昔NEXTSTEPのNetinfoシステムも、デフォルトの設定だとリモートからアクセスできて、パスワードハッシュが取れたことがありました。ファイヤーウォールがないと、スコーンとアクセスできちゃいました。で、クラックコードはしらせたら、短いパスワードは解析できちゃってビビッた覚えがあります。
Re: (スコア:0)
>Webアプリに穴があったり、PHPスクリプトやCGIを他者が設置できたりしたら、管理者権限なくとも、パスワードハッシュを取得されちゃう可能性がある
そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。
まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw
Re: (スコア:0)
>そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
>そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。
そんな単純な話で済んだら、ネットセキュリティの世界は平和になるんだろうなあ。
無知って本人だけは幸せでいいですよね。
>まぁマルウェアなどと組み合わせて、多くのMacからハッシュを集めるようなことでも・・・
>そんなに大量のハッシュだと解析するのに時間がかかって意味ないかw
マルウェアで解析までさせちゃうんじゃないの?
解析済みのパスワードをせっせと外部サーバに送信して、外部から侵入し
Re: (スコア:0)
Mac OS XのユーザIDとStoreのIDは全くの別物ですよ
Re:それは驚いた。 (スコア:1)
まあそこまで侵入できたら、ブラウザが覚えてるパスワードを狙った方が早そうだけど。
Re: (スコア:0)
> そりゃそうだけどさ、大きな穴があいているのにわざわざハッシュを盗む奇特な人って・・・
クラッカーは、多くは奇妙で特殊なひとだよ(^_^;)。
> そんな馬鹿なWebアプリ作るような場合は、もっと大きな穴があるだろうと思うよ。
そんな馬鹿なWebアプリでも、今まではハッシュまでは取られることがなかったのに、
Lionになってとられる可能性がでてきたので、どうよ、っていうことではないでしょうか?
昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。
クライアントで使ってる分にはいいのかなぁ..
.(まあ、ちょっといやだけど、考え方は人それぞれだし、それは尊重しますよ :-)。
Re: (スコア:0)
> 昔のShadowパスワードが無かった時代に逆戻りしてるってことなんだけど。
Mach(Darwin)のMach-Portへのアクセス権はケーパビリティベースのセキュリティをとってる。
したがって、動かすプログラムによって、ブートストラップ名前空間をかえて、
権限をしぼったりできるようになってるかもしれない。
Technical Note TN2083:デーモンとエージェント [apple.com]
好意的解釈だけど...。
Re: (スコア:0)