[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[fol] Re: フリーのOSって、セキュリティーは大丈夫なのか


佐野@浜松です。

In article <HIRONOBU.99Oct13211335 _at_ h2np.h2np.suginami.removeme.tokyo.jp>
 hironobu _at_ h2np.suginami.removeme.tokyo.jp (Hironobu Suzuki) さん writes:

> >>>>> "Ma" == Masakazu Yamada <masakazu _at_ yamada.gr.jp> writes:
> In article <m2yad7irg8.fsf _at_ star.aquilax.co.jp> masakazu _at_ yamada.gr.jp (Masakazu Yamada) writes:
>  Ma> ほう、そうですか。ではUNIXの暗号化パスワードから元のパスワードを
>  Ma> 解析するプログラムを実際に作っみたらどれほど簡単か分かりますよ。
> 
> あははは。あははははははは。これ最高のギャグ
> 
> 						ひろのぶ

冗談じゃなく、実際にやってみたことがあります。もちろん、実際の
 /etc/passwd とかではなくて、あくまで試験的に。

 1 〜 4 文字程度の文字列を key に、適当に選んだ salt を使って
 crypt(3) で encrypt した文字列をターゲットにして、
同じ salt を使って「総当たり」で key を変更しながら crypt の返す
文字列とターゲットを strcmp でチェックしていく、というもの。

# cyprt(3) の manpage には「まともに暗号を使おうとするなら
# この crypt は使うべきでない、その代わりに DES ライブラリを
# 使うべきだ」と書いてありますね。まあ、あくまで「遊び」ということで。

 Linux じゃなくて、75MHz MIPS R8000 な IRIX で計算やらせたんですが、
 (クロック低いから遅かったかも) key が 3 文字くらいまでなら、けっこう
早く見つかったように思います。

たしかこれが 4 文字か 5 文字になると、とたんに見つからなくなって、
数日かけてもヒットしなかった (しかも、どこかコードに穴があったらしく、
なんか正解を通り過ぎてたみたい) ので、それ以上は断念したような覚えが。

# 「総当たり」という方法が頭悪い、とか言われたりして。
# 「辞書式」とか、いろいろ使ったほうが正解率は上がるとか。
# 自分のサイトのチェックのために、簡単に推定できるパスワードを
# 判定できるツールとか、あるらしいですね。

-- 
     # 11/13 に何かが起きる? > "http://www.szlug.factory.to"
     # (わたしのおうちは浜松市、「夜のお菓子」で有名さ。)
    <xlj06203 _at_ nifty.ne.jp> : Taketoshi Sano (佐野 武俊)

この情報があなたの探していたものかどうか選択してください。
yes/まさにこれだ!   no/違うなぁ   part/一部見つかった   try/これで試してみる

あなたが探していた情報はどのようなことか、ご自由に記入下さい。特に「まさにこれだ!」と言う場合は記入をお願いします。
例:「複数のマシンからCATV経由でipmasqueradeを利用してWebを参照したい場合の設定について」
Follow-Ups: References: