Windows 10 のログオンパスワードを、Unicode(UTF-16LE)に変換した後、MD4でハッシュ化(ソルト無し)したものがHDDに格納されたはずです。「RC4」が Windows のパスワードの格納に使われるという話は知りません。ネットワーク経由でのNTLM認証の暗号化には使われていたと思いますが。これは、非常に脆弱 [dit.co.jp]で、ランダムな英大小文字+数字(62文字種)8桁なら家庭用のPCで1.2時間で解読できてしまう程度のものです。しかし、ネットワークログオンの互換性を過去のOSと保つために必要なので、仕方がないのです。
そもそも共有に置くのがおかしい (スコア:5, 参考になる)
そもそも、NTTデータが必死こいて開発した管理用基幹システムからデータを抜いてExcelに落として、そのExcelを普通の共有サーバで皆で使っている時点でおかしい。パスワード云々の話じゃないだろう?
http://d.hatena.ne.jp/kibashiri/20150604/1433385727 [hatena.ne.jp]
Re:そもそも共有に置くのがおかしい (スコア:2)
そもそも「ファイル」というのがエクセルファイルのことだとしたら、パスワードってツール使えば解除できなかったっけ?
昔パスワード忘れて困った時に何かブルートフォース的なツールでパスワード開けたような気がするのだが
Office 2007 以降の形式(docx, xlsx, pptx)なら安全 (スコア:5, すばらしい洞察)
Office 2003 以前の形式(doc, xls, ppt)であれば、ZIP(AES 256bit)よりも脆弱ですが、ZIP(ZipCrypto)よりは遥かに安全です。
Office 2007 以降の形式(docx, xlsx, pptx)であれば、ZIP(ZipCrypto)の約20万倍、ZIP(AES 256bit)の約45倍の強度があり、かなり安全で優秀な暗号化方式であるといえます。10桁のランダムな英大小文字+数字であればスパコンでも解析が困難、12桁であれば新たな脆弱性が発見されない限り不可能といえる強度です。「がんばれ!!ゲイツ君」が流行った時代とは異なり、最近の Microsoft はセキュリティに力を入れているのです。勿論、パスワード(パスフレーズ)の強度が低かったら駄目ですが、それはどんな暗号化形式であっても言えることです。
(参考: パスワードの最大解読時間測定 【暗号強度別】 [dit.co.jp])
Re: (スコア:0)
ところで、Windows10ではパスワードの格納方法はどうなるの?結局RC4+ソルト無しで変わらないの?
脆弱なままです (スコア:3)
Windows 10 のログオンパスワードを、Unicode(UTF-16LE)に変換した後、MD4でハッシュ化(ソルト無し)したものがHDDに格納されたはずです。「RC4」が Windows のパスワードの格納に使われるという話は知りません。ネットワーク経由でのNTLM認証の暗号化には使われていたと思いますが。これは、非常に脆弱 [dit.co.jp]で、ランダムな英大小文字+数字(62文字種)8桁なら家庭用のPCで1.2時間で解読できてしまう程度のものです。しかし、ネットワークログオンの互換性を過去のOSと保つために必要なので、仕方がないのです。
そもそも、ネットワーク経由でのログオンについては、ハッシュ化されたパスワードを抜き取れば生パスワードの解析不要で悪用できる [hatena.ne.jp] のですから、ハッシュの強度に関係なく、ハッシュ化されたパスワードを読み取ることができた時点で駄目なのです。Windows に限らず、物理的にHDDの内容にアクセスできる環境からの攻撃にOSのログオンパスワードは意味をなしませんから、TrueCryptかBitLockerでHDDを暗号化しておくとよいでしょう。
Re:そもそも共有に置くのがおかしい (スコア:1)
上のリンクの話が本当かどうかは知らんが、
いずれにしてもPCから流出するような形で
データが保存されてる時点で何かがおかしいに決まってる。
Re: (スコア:0)
残念ながらあの組織はおかしいことに気付いていない。
それは社会保険庁が名前を変えただけであることからもわかる。
また名前変えればいいんじゃないですか?
今度は何にしますか?
名前を入力してください>社会保険庁
エラー。その名前は既に悪いイメージが付いています。
名前を入力してください>日本年金機構
エラー。その名前は既に悪いイメージが付いています。
名前を入力してください>_
Re: (スコア:0)
何がおかしいって、銃弾で撃たれて傷だけふさぐというか、
治安が悪いエリアをあるいていて襲われたら、次からはヘルメットをかぶって治安の悪いエリアを通りましょう的な、病原というか根本原因を理解しないまま、的外れな対症療法を適用してしまう。
たちが悪いのは小さい組織ならまだしも、巨大な組織でお上からの命令で、
その的外れな対症療法が蔓延してしまうことだ。
不条理が現場を縛り、カイゼンとは程遠い。あれは、そういう組織だ。
巨象(IBM)も踊るというが、踊れない巨像は倒産して市場から消える。
市場原理に基づけばそうだが、国が死に絶えるまで日本年金機構は消えないので、歪なまま悶え続ける。
Re:そもそも共有に置くのがおかしい (スコア:1)
ダメなところほど何でもかんでも共有ファイルやメールでやりたがるんだよなー。
# 手段が不定形だと手間がかかる上に不正や間違いの入り込む余地てんこ盛り。
Re: (スコア:0)
結局、リテラシーのない一般人はそういうことになるんだろうと思う。
セキュリティより利便性を重視する。
楽になるならセキュリティとかどうでもいい。
無料で使えるならセキュリティなんてどうでもいい。(大事な情報も余裕で渡す)
だから、そういう人間に使わせるなら、できることを絞ったほうがいいんだろうと思う。
データを抜かせない。スクリーンショットなんかは防げないけど。
共有サーバー使わせない。(ファイルを置けるのはリテラシー高い人だけ)
Re: (スコア:0)
「共有フォルダで扱う場合にはパスワードなどを設定して保護するよう内規」があったんだからやるだろうね。
Re: (スコア:0)
>共有サーバー使わせない。(ファイルを置けるのはリテラシー高い人だけ)
ファイルを置けるのはリテラシーの高い人だけに限ってますかという調査に YES と報告し、
実際には、リテラシーの低い人にファイルを置かせるようになるだけのような気もする。
Re: (スコア:0)
つまりあなたは逸般人と呼ばれたいということで?
Re: (スコア:0)
「おおかた最も」
Re: (スコア:0)
尤も、だよね
Re: (スコア:0)
いや、パスワードが設定されていない共有サーバ上のオフィスファイルは、機械的に1分後位に抹消する様にシステムを改修すれば良い。(共有サーバ上なら可能だろう)
序でにパスワードの甘いファイルやローカルファイル(=汚物)も抹消だぁ。(出来れば)
# 五十歩百歩である事は認める。
Re: (スコア:0)
最大の問題はそこんところだよね
やるべきことをやっていればファイルにパスワード設定してなかろうがウィルス感染しようが個人情報は漏れなかったのに
だけど何故か根本の問題をスルーし続けて周囲の2次的な問題ばかりが取り上げられてる気がする
報道や調査している人はセキュリティに関して無知な人ばかりなのか
元凶の責任者が偉くなっていたりで、あえて避けているのか
Re: (スコア:0)
ファイルで管理している時点でダメダメでしょう
Re: (スコア:0)
>報道や調査している人はセキュリティに関して無知な人ばかりなのか
報道やそれに伴う調査は「お漏らしした」って事実を広めればそれはそれで良い。
当事者関連以外では対応担当って訳でもないし調査権限だって無いからだ。
まあ、マスコミが意見を聞きに行った専門家が実際の担当だったりすると、その時は具体的な原因と対処方法まで突っ込むべきだとは思うが。
Re: (スコア:0)
システムがゴミのような作りっぽい。
用事があって行ったとき、データ検索で手こずってて職員に謝られたので。
そもそもデータ自体酷い状態だったよね。ここ。