上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
新しい記事を書く事で広告が消せます。
セキュリティの重要性が叫ばれる昨今のコンピュータ。
セキュリティに関して関心を持たれている方は多いと思います。
Windows のログインパスワードは、LAN Manager ハッシュ (LM ハッシュ) と Windows NT ハッシュ (NT ハッシュ) というもので管理・保存されています。
この LM ハッシュは有効パスワード長が14文字で、前半7文字と後半7文字に分割して暗号鍵とするといった特徴があります。
7文字で分割管理されてしまうということは、最大でも7文字を総当たり方式の攻撃すれば、パスワードを解析されてしまうというこです。
で、この LM ハッシュの弱点をつくパスワード解析ソフトが「ophcrack」です。
ophcrack を使えば、数分で Windows のパスワードを解析してしまいます。。。><;
セキュリティに関して関心を持たれている方は多いと思います。
Windows のログインパスワードは、LAN Manager ハッシュ (LM ハッシュ) と Windows NT ハッシュ (NT ハッシュ) というもので管理・保存されています。
この LM ハッシュは有効パスワード長が14文字で、前半7文字と後半7文字に分割して暗号鍵とするといった特徴があります。
7文字で分割管理されてしまうということは、最大でも7文字を総当たり方式の攻撃すれば、パスワードを解析されてしまうというこです。
で、この LM ハッシュの弱点をつくパスワード解析ソフトが「ophcrack」です。
ophcrack を使えば、数分で Windows のパスワードを解析してしまいます。。。><;
では、実際に解析できるのか、検証してみましょう。
前準備として、VirtualBox の仮想マシンである Windows XP に「test1」、「test2」という2つのユーザを作成します。
このとき、
・test1 ユーザは20文字のパスワード(VBScript でランダムな英数字で生成したものを使用)を設定
・test2 ユーザは13文字のパスワード(VBScript でランダムな英数字で生成したものを使用)を設定
したパスワードを使用します。
では、「ophcrack」でパスワード解析を行ってみます。
「ophcrack」は下記の URL でダウンロードできます。
【ophcrack】
URL:http://ophcrack.sourceforge.net/
「Download ophcrack LiveCD」でCDイメージをダウンロードしたものを使用します。
使い方は簡単、ダウンロードした CD イメージを CD-R に焼き、そのCDで起動させるだけです。
(今回は VirtualBox の仮想マシンに対して解析するので、CDイメージファイルを仮想マシンでマウントさせます)
で、解析された結果がこちら。。。
「Administrator」、「test2」とも見事に解析されてしまいました。。。><;
(「Administrator」の解析結果は伏せまてますが、解析されてます)
「test1」はパスワードを20文字に設定したため、LM ハッシュとしてパスワード管理されないので、LM ハッシュからの解析はできなかったようです。
約8分でパスワードが解析されてしまいましたね。。。><;
Windows XP でデフォルトで使用される LM ハッシュは非常に弱いといえます。
また、「ophcrack」というツールも、ごく一般的なツールです。
このようにごく一般的な「ophcrack」というツールで簡単にLM ハッシュで管理されているパスワードを解析されてしまうわけですから、何かしらの対策を施しておくべきでしょう。
例えば、
LM ハッシュの有効桁数は14文字ですので、15文字以上のパスワードを設定する
Windows ではLM ハッシュでパスワードを保持する・保持しないをレジストリで管理しているので、LM ハッシュでパスワードを管理しない設定にする。
などとしておくことも有効といえます。
自分のマシンで ophcrack などを使いセキュリティを確認してみましょう。
※ophcrack はセキュリティ対策・状態を確認するためのツールです。
決して、他人のマシンなどのパスワードを解析する目的で使用しないで下さい。
前準備として、VirtualBox の仮想マシンである Windows XP に「test1」、「test2」という2つのユーザを作成します。
このとき、
・test1 ユーザは20文字のパスワード(VBScript でランダムな英数字で生成したものを使用)を設定
・test2 ユーザは13文字のパスワード(VBScript でランダムな英数字で生成したものを使用)を設定
したパスワードを使用します。
では、「ophcrack」でパスワード解析を行ってみます。
「ophcrack」は下記の URL でダウンロードできます。
【ophcrack】
URL:http://ophcrack.sourceforge.net/
「Download ophcrack LiveCD」でCDイメージをダウンロードしたものを使用します。
使い方は簡単、ダウンロードした CD イメージを CD-R に焼き、そのCDで起動させるだけです。
(今回は VirtualBox の仮想マシンに対して解析するので、CDイメージファイルを仮想マシンでマウントさせます)
で、解析された結果がこちら。。。
「Administrator」、「test2」とも見事に解析されてしまいました。。。><;
(「Administrator」の解析結果は伏せまてますが、解析されてます)
「test1」はパスワードを20文字に設定したため、LM ハッシュとしてパスワード管理されないので、LM ハッシュからの解析はできなかったようです。
約8分でパスワードが解析されてしまいましたね。。。><;
Windows XP でデフォルトで使用される LM ハッシュは非常に弱いといえます。
また、「ophcrack」というツールも、ごく一般的なツールです。
このようにごく一般的な「ophcrack」というツールで簡単にLM ハッシュで管理されているパスワードを解析されてしまうわけですから、何かしらの対策を施しておくべきでしょう。
例えば、
LM ハッシュの有効桁数は14文字ですので、15文字以上のパスワードを設定する
Windows ではLM ハッシュでパスワードを保持する・保持しないをレジストリで管理しているので、LM ハッシュでパスワードを管理しない設定にする。
などとしておくことも有効といえます。
自分のマシンで ophcrack などを使いセキュリティを確認してみましょう。
※ophcrack はセキュリティ対策・状態を確認するためのツールです。
決して、他人のマシンなどのパスワードを解析する目的で使用しないで下さい。
