タグ

関連タグで絞り込む (15)

タグの絞り込みを解除

Windowsとpasswordに関するraimon49のブックマーク (5)

  • Pass the Hash - セキュリティ

    Pass the Hash (Pass-the-Hash, パス ザ ハッシュ)とは、ハッキングテクニックの1つです。攻撃者は、通常、平文のパスワードユーザが要求されるケースで、パスワードの代わりにパスワードのNTLMハッシュ や LMハッシュを使用して、リモートのサーバやサービスを認証します。 読み方 Pass the Hash ぱす ざ はっしゅ Pass-the-Hash ぱす ざ はっしゅ 概要 攻撃者は、有効なユーザ名とハッシュ化されたパスワードを取得(他の方法やツールを使用して取得する)した後で、平文パスワード を得るために、ハッシュ に対する総当たり攻撃( brute-force) なしに、LMハッシュ / NTLMハッシュ を利用して、リモートのサーバ/サービスの認証に使用します。 攻撃者は、ソルトが利用されていないハッシュ化されたパスワードの認証プロトコルの脆弱な実装を悪

  • パスワード定期的変更の効能について徳丸さんに聞いてみた

    高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議

    raimon49
    raimon49 2014/09/10
    限定された条件下においてはパスワードを定期的に変更した方が良い場合もある、という整理。
    リンク

  • 本当は怖い Windows パスワードハッシュ - 登 大遊 (Daiyuu Nobori) の個人日記

    「各社員の PCWindows の管理者パスワードは 16 文字くらいの複雑なものにしているので、たとえ 1 台の PC の HDD から NTLM ハッシュ (MD4 ハッシュ) が盗まれてもブルートフォース攻撃で元のパスワードは導出できず、安全だ。」と考えて、多数の各社員の PC に同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか 1 台の PC から管理者パスワードの MD4 ハッシュが攻撃者に読み出された時点でアウトである。攻撃者にとって不正ログインに必要なのは MD4 ハッシュのみであり、平文パスワードを逆算する必要はない。MD4 ハッシュの入手に成功した攻撃者は、企業内で同一の管理者パスワードが設定されてある他の PC すべてに管理者権限で侵入することができるようになる。現状、企業の情報システム部門は、多数の社員用の Windows

    本当は怖い Windows パスワードハッシュ - 登 大遊 (Daiyuu Nobori) の個人日記
    raimon49
    raimon49 2013/08/22
    >顧客システムを保守するシステムインテグレータなどの方は、同一組織用のすべての PC に同一の管理者パスワードを設定しているというよくありがちな運用をしていないかどうか、改めて確認してみるべきである。
    リンク

  • 「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem's blog

    昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました 現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。 一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パ

    「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem's blog
    raimon49
    raimon49 2012/02/01
    rootパスワードを共有する必要があるのなら、パスワードの変更は「管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミング」
    リンク

  • 魂、奪われた後――弱いパスワードの罪と罰 ― @IT

    ※ご注意 記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 管理者権限を奪取すると何をされるのか 昨今、OSやアプリケーションの脆弱性が公表された際に、管理者権限を奪取されることに対する注意喚起がなされるのはいまや日常茶飯事である。「管理者権限が奪取される」「システムが掌握される」と聞くと、なんと

    魂、奪われた後――弱いパスワードの罪と罰 ― @IT
    raimon49
    raimon49 2011/05/09
    Rainbow Tableを使って、奪取したパスワードハッシュから元テキストを復元する例。
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.