2007. 08. 17 Fri | Tweet |
追記:対策をしても9文字以上じゃないと安全じゃない!(08.1.13)
前回、パスワードの強度についてエントリを書いたのですが、
どうやらXPのログインパスワードに関しては事情が違うようです。
もっと危険みたいです。
今週初め、本屋さんでPC Japan 2007.9月号(今月号.8/13発売)の
セキュリティ特集「セキュリティ処方箋」を読んで初めて知りました。
家に帰ってすぐに対策を取りました(立ち読みです、すいません)
しかも今朝、GIGAZINEのこの記事↓を読んでなおさら大変だ!とエントリしました。
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 (07.8/16-GIGAZINE)
XP(Vista以外のWindows全て)のログインパスワードを作成すると
LMハッシュとNTLMハッシュという2種類のハッシュ値が作成されます。
コレはパスワードを特殊なアルゴリズムで暗号化したデータなのですが、
LMハッシュの方が問題なのです。
LMハッシュは古いOSとの下位互換性のために使用されるものなので不要な上に、
これが簡単に解読されてしまうらしいのです。
XP以前の古いOSを使わない環境であれば、このLMハッシュを作成しないようにしなければ
ファイルにパスワードを色々駆使したところで、簡単にログインされてしまいます。
突破にかかる時間はほんの数秒みたいです。
◆すぐに対策しましょう!
Windows でパスワードの LAN Manager ハッシュが Active Directory と
ローカル SAM データベースに保存されないようにする方法 -Microsoft
これによると、LMハッシュ(LAN Manager Hash)を作成しない方法は3つ。
1:グループ ポリシーを使用して NoLMHash ポリシーを実装(XP Home Editionでは不可)
2:レジストリを編集して NoLMHash ポリシーを実装(OSにより方法が違うので注意)
3:15 文字以上の長さのパスワードを使用
XPの場合のレジストリの変更方法(簡単です)は続きを読む>>以下に。
■参考にさせて頂きました:Windows のパスワードを解析するツール(取扱注意) -alectrope
追記(08.1/13)
このエントリの方法でレジストリを変更(NoLMHash:1)して
LMハッシュを作成しないようになったからと言って安心はできません。
堅牢なNTハッシュの方でも有償版Ophcrackなら
8文字までは突破できるみたいなのです(07.12月時点)。
なのでXPユーザーに必要な対策は
1.早急にLMハッシュを作成しないレジストリの変更(後述)
2.その上で最低でも9文字以上のパスワードを設定する
前回、パスワードの強度についてエントリを書いたのですが、
どうやらXPのログインパスワードに関しては事情が違うようです。
もっと危険みたいです。
今週初め、本屋さんでPC Japan 2007.9月号(今月号.8/13発売)の
セキュリティ特集「セキュリティ処方箋」を読んで初めて知りました。
家に帰ってすぐに対策を取りました(立ち読みです、すいません)
しかも今朝、GIGAZINEのこの記事↓を読んでなおさら大変だ!とエントリしました。
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 (07.8/16-GIGAZINE)
XP(Vista以外のWindows全て)のログインパスワードを作成すると
LMハッシュとNTLMハッシュという2種類のハッシュ値が作成されます。
コレはパスワードを特殊なアルゴリズムで暗号化したデータなのですが、
LMハッシュの方が問題なのです。
LMハッシュは古いOSとの下位互換性のために使用されるものなので不要な上に、
これが簡単に解読されてしまうらしいのです。
XP以前の古いOSを使わない環境であれば、このLMハッシュを作成しないようにしなければ
ファイルにパスワードを色々駆使したところで、簡単にログインされてしまいます。
突破にかかる時間はほんの数秒みたいです。
◆すぐに対策しましょう!
Windows でパスワードの LAN Manager ハッシュが Active Directory と
ローカル SAM データベースに保存されないようにする方法 -Microsoft
これによると、LMハッシュ(LAN Manager Hash)を作成しない方法は3つ。
1:グループ ポリシーを使用して NoLMHash ポリシーを実装(XP Home Editionでは不可)
2:レジストリを編集して NoLMHash ポリシーを実装(OSにより方法が違うので注意)
3:15 文字以上の長さのパスワードを使用
XPの場合のレジストリの変更方法(簡単です)は続きを読む>>以下に。
■参考にさせて頂きました:Windows のパスワードを解析するツール(取扱注意) -alectrope
追記(08.1/13)
このエントリの方法でレジストリを変更(NoLMHash:1)して
LMハッシュを作成しないようになったからと言って安心はできません。
堅牢なNTハッシュの方でも有償版Ophcrackなら
8文字までは突破できるみたいなのです(07.12月時点)。
なのでXPユーザーに必要な対策は
1.早急にLMハッシュを作成しないレジストリの変更(後述)
2.その上で最低でも9文字以上のパスワードを設定する
◆レジストリの変更方法 ※XPの場合
[スタート]ボタン-[ファイル名を指定して実行]で「regedit」とタイプして[OK]
レジストリエディタが起動します。
マイ コンピュータ¥HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥Lsa
へ移動します(¥***がフォルダを表してます)
"Lsa"フォルダを右クリック[新規]-[DWORD 値]を選択。
ウィンドウ右ペインに新しいDWORD値が作成されるので NoLMHash と入力。
作成された NoLMHash をダブルクリックし[値のデータ]を「 1 」にして[OK]
PCを再起動し、パスワードを変更して下さい。
でないと、元のパスワードのLMハッシュが残ってます。
同じパスワードを使い続けたい場合は、
レジストリ変更→再起動後に一度適当なパスに変更→再起動→
→再び元のパスに戻して再起動。
パスワードの変更方法は[コントロールパネル]-[ユーザーアカウント]で
アカウントを選択して[パスワードを変更する]
アカウントを選択して[パスワードを変更する]
手動(笑)で関連記事:
・パスワードが何分で突破されるか?…通常のパスワード。パスワード関連のフリーソフトも紹介。