アクセラと+αな生活
アクセラとα350と共に過ごす気まぐれ日記です。
Firefox ブラウザ無料ダウンロード
2017年09月
≪08月  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30    10月≫
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
セキュリティの重要性が叫ばれる昨今のコンピュータ。
セキュリティに関して関心を持たれている方は多いと思います。

Windows のログインパスワードは、LAN Manager ハッシュ (LM ハッシュ) Windows NT ハッシュ (NT ハッシュ) というもので管理・保存されています。

この LM ハッシュは有効パスワード長が14文字で、前半7文字と後半7文字に分割して暗号鍵とするといった特徴があります。
7文字で分割管理されてしまうということは、最大でも7文字を総当たり方式の攻撃すれば、パスワードを解析されてしまうというこです。

で、この LM ハッシュの弱点をつくパスワード解析ソフトが「ophcrack」です。
ophcrack を使えば、数分で Windows のパスワードを解析してしまいます。。。><;


では、実際に解析できるのか、検証してみましょう。

前準備として、VirtualBox の仮想マシンである Windows XP に「test1」、「test2」という2つのユーザを作成します。

このとき、
 ・test1 ユーザは20文字のパスワード(VBScript でランダムな英数字で生成したものを使用)を設定
 ・test2 ユーザは13文字のパスワード(VBScript でランダムな英数字で生成したものを使用)を設定
したパスワードを使用します。

ophcrack_20091016_000.jpg

では、「ophcrack」でパスワード解析を行ってみます。

「ophcrack」は下記の URL でダウンロードできます。

【ophcrack】
URL:http://ophcrack.sourceforge.net/

「Download ophcrack LiveCD」でCDイメージをダウンロードしたものを使用します。
使い方は簡単、ダウンロードした CD イメージを CD-R に焼き、そのCDで起動させるだけです。
(今回は VirtualBox の仮想マシンに対して解析するので、CDイメージファイルを仮想マシンでマウントさせます)


で、解析された結果がこちら。。。
ophcrack_20091016_001.jpg

「Administrator」、「test2」とも見事に解析されてしまいました。。。><;
(「Administrator」の解析結果は伏せまてますが、解析されてます)

「test1」はパスワードを20文字に設定したため、LM ハッシュとしてパスワード管理されないので、LM ハッシュからの解析はできなかったようです。

約8分でパスワードが解析されてしまいましたね。。。><;




Windows XP でデフォルトで使用される LM ハッシュは非常に弱いといえます。
また、「ophcrack」というツールも、ごく一般的なツールです。

このようにごく一般的な「ophcrack」というツールで簡単にLM ハッシュで管理されているパスワードを解析されてしまうわけですから、何かしらの対策を施しておくべきでしょう。

例えば、
 LM ハッシュの有効桁数は14文字ですので、15文字以上のパスワードを設定する
 Windows ではLM ハッシュでパスワードを保持する・保持しないをレジストリで管理しているので、LM ハッシュでパスワードを管理しない設定にする。
などとしておくことも有効といえます。

自分のマシンで ophcrack などを使いセキュリティを確認してみましょう。

 
※ophcrack はセキュリティ対策・状態を確認するためのツールです。
決して、他人のマシンなどのパスワードを解析する目的で使用しないで下さい。



コメント
この記事へのコメント
URL :
コメント :
パスワード :
管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
Template designed by アクセラと+αな生活

Powered by .
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。