John the Ripperでパスワードの安全性を確認する
John the Ripperは、パスワードの解析を行なうソフトウェアです。辞書攻撃やブルートフォース攻撃を 行なうことができます。ここでは、このJohn the Ripperを用いて、ユーザのパスワードを解析してみます。 その後で、パスワードポリシーについて考えてみます。 John the Ripperの準備 John the Ripperでパスワード解析 パスワードポリシー John the Ripperはエクストラパッケージで提供されているので、yumの設定をエクストラパッケージが 利用できる設定にする必要があります。Fedora Core 3の場合は以下を参照してみてください。 → Fedora Core 3のyumの設定(エクストラパッケージ) それでは、John the Ripperのインストールを行います。以下のようにします。
パスクラック - HackingWiki
目次 パスクラック(パスワードクラック)攻撃とは † パスワードによって認証が行われているサーバに侵入するためのもっとも単純な方法は、そのパスワードを知ることです。 そのパスワードを知るために行われる手段をいわゆるパスクラックといいます。 その手段としては大きく2つ、マシン内で行われるローカルパスクラックと、外部サーバに向かって行われるリモートパスクラックに分けられます。 ↑ UNIXのログインパスワードクラック † UNIX・Linux・BSD等Linux系のシステムではパスワードはDES、もしくはMD5という方式でハッシュされて格納されています。 過去はハッシュは基本的にユーザなら誰でも閲覧可能な/etc/passwdファイル内に書き込まれて保存されていたのですが、現在ではパスワード部分だけがroot権限がないと閲覧できないファイル(Linux系だと/etc/shadow、BSDだと/
/etc/shadowについて調べてみた。 - Web、只今勉強中
chroot環境のscp、sftpについて調べてたんだけど、少し脱線して調べたので書いておく。CentOSでユーザーパスワードが未設定の場合、/etc/shadowのパスワード部分は「!!」になっている。(CentOSしか確認してないので他ディストリビューションで同じかは不明。場合によっては「*」、「NP」の場合もあるらしい。)パスワードを設定していて一時的にパスワードを使えない様にロックするには # usermod -L username で可能。この場合、/etc/shadowにはハッシュされたパスワードの頭に「!」が付く。これでパスワードが使えなくなる。パスワードが未設定の場合やロックの際に「!」、「*」が使われるのはパスワードのハッシュを生成する場合にこの文字がハッシュに現れる事がないので、これが含まれているとパスワードでログインできなくなる。詳しくは/etc/shadowの内容に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
/etc/passwdファイル作成アルゴリズムの謎について
https://museum.scenecritique.com/lib/document/document/su990222a.txt
