正直、この記事見た時には脱力してしまいましたが。orz
(確かに昔からパスワードクラックに関するツールはあったはあったんですが、UG系ネタに近いお話だったので、あまり普通の人が耳にする話題ではなかったんですけれどねぇ……正直言うと、あまり載せて欲しくなかったような(この手の記事を載せると安直に真似をする餓鬼(厨房)がいますので)。)
本当は自宅の環境でも(週末に)検証しようと考えていたんですが、検証し忘れたので、とりあえずWindowsドメイン環境下でのケースを1つ検証事例として出します。
---
【ケース:Windowsドメイン環境下での場合】
(マシン)
DELL Optiplex GX270(Penium4 2.8GHz、Memory1GB、Windows XP Professional SP2+2006/2までの各種セキュリティHotFixは適用済み)
(アカウント)
普段はWindowsドメイン管理者から与えられているドメインユーザ(Domain Users)を利用(ローカルのAdministartorsグループに参加)。
それ以外に4種類のローカルアカウント(Administartor、テスト用のユーザ(Users権限)、ASPNET、HelpAssistant(但し無効化)が登録。Administartorとテスト用のユーザには14文字以内のパスワードがセットされている。
なおLMハッシュは有効化されたままである。
(検証結果)
LiveCDを入れてコールドスタート後、約10分後にはAdministartorとテスト用ユーザのパスワードは解析されてしまった。
それ以外のローカルアカウントは20分経過したが解析できないようなので手動で停止。
ドメインユーザアカウントは調査対象にすら含まれなかった。
(とりあえずの結論)
Windowsドメインユーザはローカルの端末からでは調査対象に含まれない(ドメインコントローラ上で操作された場合は分かりませんが……尤もそのような状態になるようならば、システム以前の問題でしょうし(汗)。)
思ったよりも時間がかかるので、お手軽にパスワード解析という訳にはいかない?……そもそも一般的なWindowsのデスクトップ画面とは異なる画面が10分程度も表示され続けて気づかない方もアレゲですし。
組み込み系アカウントのパスワードはまず解析は出来ない?…恐らく15文字以上のパスワードが自動的に設定され、LMハッシュに関する情報が無いんでしょう。
---
気になる人はココの情報を元に、LMハッシュを無効化してしまうのが一番確実ですね。
(確かに昔からパスワードクラックに関するツールはあったはあったんですが、UG系ネタに近いお話だったので、あまり普通の人が耳にする話題ではなかったんですけれどねぇ……正直言うと、あまり載せて欲しくなかったような(この手の記事を載せると安直に真似をする餓鬼(厨房)がいますので)。)
本当は自宅の環境でも(週末に)検証しようと考えていたんですが、検証し忘れたので、とりあえずWindowsドメイン環境下でのケースを1つ検証事例として出します。
---
【ケース:Windowsドメイン環境下での場合】
(マシン)
DELL Optiplex GX270(Penium4 2.8GHz、Memory1GB、Windows XP Professional SP2+2006/2までの各種セキュリティHotFixは適用済み)
(アカウント)
(検証結果)
(とりあえずの結論)
---
気になる人はココの情報を元に、LMハッシュを無効化してしまうのが一番確実ですね。
