アカウント名:
パスワード:
JPAAWGの今年のイベント資料だとhttps://www.jpaawg.org/docs/event/2021ppap/ [jpaawg.org]RTX 2080Ti 2枚使った状態でも14文字で記号含むと理論値で66億年かかるとのことPPAPが意味ないってのは分かるがZIPパスワードが弱いってのは違うんではないか?
それ。しかもしばらく解読処理してる間に「実はめちゃくちゃ長くて作業が無駄になるんじゃないか」と疑心暗鬼を生じるおまけつき。記事は以前の感覚よりだいぶ早いけどね。ソフトで効率も多少上がるもんだ。GPU対応だとなおさら。でも文字数で殴れば解読は無理筋。
もちろん普通にPGPとか使うのが一番だけどな。対応メーラーが少なすぎる。
zipの強度は単純に文字数と文字種別だから、復号デモとしてアルファベット限定6で文字なら数分って事なんでしょう。PPAP問題ってよりは、zipでもパスワードが短過ぎると意味が無いって言いたいのかも。
このパスワードクラッカー、画面を見る限りhashcat [hashcat.net]だと思うが、GTX1070で10億/秒ならZIPパスワードは優秀な方ではないだろうか。Windowsが使っているNTハッシュならこの10倍は行くだろう。ZIP暗号化に文句を言うのなら、その10倍弱いハッシュをいつまでも使っているMicrosoftになぜ文句を言わないのだろう?
Windowsが無制限にパスワード入力をリトライできるんならな問題の本質をすり替えてまでMS叩きたいとか病気なの?
パスワード入力じゃなくてNTハッシュ解析でしょう?メモリから取り出して無制限に試行できるんですよ。Win7の頃は脆弱だったのでWin10で対策入ったはず。
メモリ読み込まれるようじゃ色々終わりだけどな外に出すのが前提のzipファイルと比べて綾つけるのは流石にもちろん強度が高いに越したことはないけどね
もちろんWindowsのアカウント入力を手で打つ方法ではないです。まずハッシュテーブルを手に入れる必要がありますが、まずはreg dump 試してみて。ハードディスクを取り外して、System32\config\ 以下のSYSTEMとSAMファイルを取り出す方法でもいいです。ハードディスクが暗号化してなければですけども。出来たらmimikatzというものがあるので、これでハッシュを取り出せます。https://github.com/gentilkiwi/mimikatz/に今でもあると思う。当然WindowsDefenderにマークされているので、停止しておかないとだめです。ハッシュテーブルが取得出来たら、hashcatに
ブラフマー「1.5カルパくらいか。寝る前に仕掛けておけば次寝る頃までには終るな」
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
パスワードの前提が短すぎないか? (スコア:1)
JPAAWGの今年のイベント資料だと
https://www.jpaawg.org/docs/event/2021ppap/ [jpaawg.org]
RTX 2080Ti 2枚使った状態でも14文字で記号含むと理論値で66億年かかるとのこと
PPAPが意味ないってのは分かるがZIPパスワードが弱いってのは違うんではないか?
Re: (スコア:0)
それ。
しかもしばらく解読処理してる間に「実はめちゃくちゃ長くて作業が無駄になるんじゃないか」と疑心暗鬼を生じるおまけつき。
記事は以前の感覚よりだいぶ早いけどね。ソフトで効率も多少上がるもんだ。GPU対応だとなおさら。でも文字数で殴れば解読は無理筋。
もちろん普通にPGPとか使うのが一番だけどな。
対応メーラーが少なすぎる。
Re: (スコア:0)
zipの強度は単純に文字数と文字種別だから、復号デモとしてアルファベット限定6で文字なら数分って事なんでしょう。
PPAP問題ってよりは、zipでもパスワードが短過ぎると意味が無いって言いたいのかも。
Re: (スコア:0)
このパスワードクラッカー、画面を見る限りhashcat [hashcat.net]だと思うが、GTX1070で10億/秒ならZIPパスワードは優秀な方ではないだろうか。Windowsが使っているNTハッシュならこの10倍は行くだろう。ZIP暗号化に文句を言うのなら、その10倍弱いハッシュをいつまでも使っているMicrosoftになぜ文句を言わないのだろう?
Re: (スコア:0)
Windowsが無制限にパスワード入力をリトライできるんならな
問題の本質をすり替えてまでMS叩きたいとか病気なの?
Re: (スコア:0)
パスワード入力じゃなくてNTハッシュ解析でしょう?
メモリから取り出して無制限に試行できるんですよ。
Win7の頃は脆弱だったのでWin10で対策入ったはず。
Re: (スコア:0)
メモリ読み込まれるようじゃ色々終わりだけどな
外に出すのが前提のzipファイルと比べて綾つけるのは流石に
もちろん強度が高いに越したことはないけどね
Re: (スコア:0)
もちろんWindowsのアカウント入力を手で打つ方法ではないです。まずハッシュテーブルを手に入れる必要がありますが、まずはreg dump 試してみて。ハードディスクを取り外して、System32\config\ 以下のSYSTEMとSAMファイルを取り出す方法でもいいです。ハードディスクが暗号化してなければですけども。
出来たらmimikatzというものがあるので、これでハッシュを取り出せます。https://github.com/gentilkiwi/mimikatz/に今でもあると思う。当然WindowsDefenderにマークされているので、停止しておかないとだめです。
ハッシュテーブルが取得出来たら、hashcatに
Re: (スコア:0)
ブラフマー「1.5カルパくらいか。寝る前に仕掛けておけば次寝る頃までには終るな」