本当は怖い Windows パスワードハッシュ - 登 大遊 (Daiyuu Nobori) の個人日記

「各社員の PC の Windows の管理者パスワードは 16 文字くらいの複雑なものにしているので、たとえ 1 台の PC の HDD から NTLM ハッシュ (MD4 ハッシュ) が盗まれてもブルートフォース攻撃で元のパスワードは導出できず、安全だ。」と考えて、多数の各社員の PC に同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか 1 台の PC から管理者パスワードの MD4 ハッシュが攻撃者に読み出された時点でアウトである。攻撃者にとって不正ログインに必要なのは MD4 ハッシュのみであり、平文パスワードを逆算する必要はない。MD4 ハッシュの入手に成功した攻撃者は、企業内で同一の管理者パスワードが設定されてある他の PC すべてに管理者権限で侵入することができるようになる。現状、企業の情報システム部門は、多数の社員用の Windows

[yohichidate]

難しいよね。大企業なんかだと、環境丸ごとぶち込むやり方だろうし。ADMINアカウントはどうしたって一緒になっちゃう。

[mmuuishikawa]

これはまずいのでは

[haneimo]

悔しい、理解できないっ！ビクビクン

[deep_one]

確かにそうかな。／パスワードって機械をまたがってどうにかしようとすると途端に無理が出てくるんだよね。

[tmatsuu]

なんか昔同じネタをHNで見たな。でもわかりやすい日本語記事、素晴らしい。対策として上げている、共通のパスワードの末尾にPCの名前をつけたもの、はまさにソルトと原理と同じなのでいいと思う。

[tarchan]

＞同一の管理者パスワードが設定されている複数の PC は、そのうち 1 台でも攻撃者の手に渡れば、すべての PC に攻撃者が侵入できるようになる。

[arakik10]

Microsoft Windows OS のパスワードの仕組みについて。同じパスワードを設定すると、1台でパスワードのMD4ハッシュが盗まれると、すべての台で使用できてしまう。

[kukita]

【セキュリティ】複数のWindowsマシンで同じ管理者パスワードを設定していた場合、1台のマシンからMD4ハッシュ値が読み出された時点でアウト。例え複雑で長い文字列にしていてもムダ。 #セキュリティ →

[pcds90net]

利便性を追求してセキュリティが犠牲になっているのか…

[moerrari]

windowsの脆弱性について。パスワードのハッシュ値が分かればログインできてしまうという話。

[open_your_eyes]

ケルベロスにしろ

[cubed-l]

Administratorは無効にするものだと思ってたが、これは常識ではなかったのか

[taka222]

”2013-08-21 - 登 大遊＠筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記”

[skam666]

“各社員のPCに同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか1台のPCから管理者パスワードのMD4ハッシュが攻撃者に読み出された時点でアウト”

[matsumoto_r]

へー

[moondoldo]

パスワード ハッシュ

[rti7743]

利便性との背中合わせだからなんとも言えない

[namikawamisaki]

「Windows のローカルには通常 1 個以上の Administrators 権限を持つユーザーを最初に作成する。この共通の管理者ユーザーのパスワードが曲者である。」

[JULY]

これ、NTLMv2 認証の問題だよね。AD 配下の時に NTLMv2 を無効にして、全部 Kerberos、という訳には、まだ無理なのかなぁ。

[sakuragaoka]

Windowsの実装が悪い。けどその実装のまずさを知っておかないとまずいことになるという話。

[UDONCHAN]

やばい

[diet55]

2013-08-21 - 登 大遊＠筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記

[raimon49]

＞顧客システムを保守するシステムインテグレータなどの方は、同一組織用のすべての PC に同一の管理者パスワードを設定しているというよくありがちな運用をしていないかどうか、改めて確認してみるべきである。

[MxHaltfors]

大抵こういうのは脆弱性を生むよね。 > ある 1 台の PC でログインしているユーザーが、ネットワーク経由で別の PC の共有フォルダに同一ユーザー名・同一パスワードでパスワードの再入力なしで接続できるようにするため

[hanenone]

ある程度知ってたけど、日常運用の利便性とか通常業務を阻害する要素として考えたらある程度のリスク受容は必要な訳で、極端な話機密は持つな、って話になる。システムに踊らされてもだめ。

[masabossa]

MD4は当時は問題なかったはず。使われているセキュリティ技術が陳腐化するからこそ定期的に最新のものに替えていかないといけない。そのためにNISTみたいな機関が日夜研究して勧告を出している。

[nocchi_h]

" 複数の Windows PC を管理する企業のシステム管理者にとって、現実的に有効な対策は 1 つだけである。それは、すべての PC の管理者パスワードをそれぞれ異なるものに設定することである。"

[YasSo]

「複数の Windows PC を管理する企業のシステム管理者にとって、現実的に有効な対策は 1 つだけである。それは、すべての PC の管理者パスワードをそれぞれ異なるものに設定することである。」

[kz14]

なるほど。そういう方法があるのか。φ(..)メモメモ

[ya--mada]

<q>原文では異なるパスワードを設定する以外にも現実的な解が提示されてますよ</q>

[nakack]

長い

[muchonov]

めっちゃ脆弱だったLMハッシュの時代からNTLMv1・NTLMv2と、WindowsのLMハッシュは何かとヘンテコな設計が多い。