佐野@浜松です。 In article <HIRONOBU.99Oct13211335 _at_ h2np.h2np.suginami.removeme.tokyo.jp> hironobu _at_ h2np.suginami.removeme.tokyo.jp (Hironobu Suzuki) さん writes: > >>>>> "Ma" == Masakazu Yamada <masakazu _at_ yamada.gr.jp> writes: > In article <m2yad7irg8.fsf _at_ star.aquilax.co.jp> masakazu _at_ yamada.gr.jp (Masakazu Yamada) writes: > Ma> ほう、そうですか。ではUNIXの暗号化パスワードから元のパスワードを > Ma> 解析するプログラムを実際に作っみたらどれほど簡単か分かりますよ。 > > あははは。あははははははは。これ最高のギャグ > > ひろのぶ 冗談じゃなく、実際にやってみたことがあります。もちろん、実際の /etc/passwd とかではなくて、あくまで試験的に。 1 〜 4 文字程度の文字列を key に、適当に選んだ salt を使って crypt(3) で encrypt した文字列をターゲットにして、 同じ salt を使って「総当たり」で key を変更しながら crypt の返す 文字列とターゲットを strcmp でチェックしていく、というもの。 # cyprt(3) の manpage には「まともに暗号を使おうとするなら # この crypt は使うべきでない、その代わりに DES ライブラリを # 使うべきだ」と書いてありますね。まあ、あくまで「遊び」ということで。 Linux じゃなくて、75MHz MIPS R8000 な IRIX で計算やらせたんですが、 (クロック低いから遅かったかも) key が 3 文字くらいまでなら、けっこう 早く見つかったように思います。 たしかこれが 4 文字か 5 文字になると、とたんに見つからなくなって、 数日かけてもヒットしなかった (しかも、どこかコードに穴があったらしく、 なんか正解を通り過ぎてたみたい) ので、それ以上は断念したような覚えが。 # 「総当たり」という方法が頭悪い、とか言われたりして。 # 「辞書式」とか、いろいろ使ったほうが正解率は上がるとか。 # 自分のサイトのチェックのために、簡単に推定できるパスワードを # 判定できるツールとか、あるらしいですね。 -- # 11/13 に何かが起きる? > "http://www.szlug.factory.to" # (わたしのおうちは浜松市、「夜のお菓子」で有名さ。) <xlj06203 _at_ nifty.ne.jp> : Taketoshi Sano (佐野 武俊)
Follow-Ups:
- [fol] Re: フリーのOSって、セキュリティーは大丈夫なのかHironobu Suzuki
- [fol] Re: フリーのOSって、セキュリティーは大丈夫なのかYamada Junji
- [fol] Re: フリーのOSって、セキュリティーは大丈夫なのかMasakazu Yamada
- [fol] Re: フリーのOSって、セキュリティーは大丈夫なのかHironobu Suzuki
- Prev by Date: [fol] Re: フリーのOS って、セキュリティーは大丈夫なのか
- Next by Date: [fol] [SUMMRY] How can I clean tapes?
- Previous by thread: [fol] Re: フリーのOSって、セキュリティーは大丈夫なのか
- Next by thread: [fol] Re: フリーのOSって、セキュリティーは大丈夫なのか
- Indexes:[Main][Thread]