- PR -

パスワードの取得

«前のページへ 1|2
投稿者投稿内容
たー坊
会議室デビュー日: 2006/01/20
投稿数: 16
投稿日時: 2007-05-23 18:21
みなさん、回答ありがとうございます。
私もWindowsのパスワードまで取得できるのは、問題があると
認識しています。
今回の要件ですが、
1.ポータルサイトにログインする。そのときにIDとパスワードを入力する。
2.その時にActive Directoryを使用して認証を行う。
3.ポータルサイトにログインする。
4.ポータルサイトから今回構築するシステムのリンクからログイン画面へ
5.そのログイン画面でユーザが情報を入力しないで、ログイン出来る様にする。

4で一切、ポータルサイトから情報がもらえません。
だからパスワードが取得出来ないかなと考えました。

他にいい方法はあるんですかね。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-05-23 18:23
引用:

引用:

Mattunさんの書き込み (2007-05-23 16:28) より:
Webサーバ側次第ですが、Windows統合認証で実装してください。
http://www.google.co.jp/search?hl=ja&q=Windows%E7%B5%B1%E5%90%88%E8%AA%8D%E8%A8%BC&lr=


本件ではappletにそのappletが起動しているPCのログインユーザ・パスワードを
入力するという話だと思うので、サーバ側での話とは違ってきますね。

いえいえ、本質的な要件が
「windowsのユーザIDとパスワードを自動取得してログインしたい」
だと思ってるので、Applet実装とか気にせずに方法論として紹介したまでです。
当然、Appletを意地でも使うなら、僕の情報は役に立ちません。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
未記入
常連さん
会議室デビュー日: 2007/05/14
投稿数: 26
投稿日時: 2007-05-23 18:42
引用:

Edossonさんの書き込み (2007-05-23 17:58) より:
そんな、クラッキングツールなんか持ち出されても。

だいたい、OSから直接パスワードを取得する方法があるのかどうかと、
一定時間にパスワードが破れるかどうか、なんて、
自分で書いてらっしゃる通り、無関係でしょ。


はい、今回の質問者の質問とは直接関係ないんですが
レスした人が結構、パスワードは絶対調べられないはず的な事を書き込んでいたので
クラックだろうと何だろうと、方法があると言う事を情報として書きました。
あくまで「破る方法はないだろう」という点についての返答だと思って貰えれば。

引用:

こういうのって、解決といってしまっていいんですかね。
クラッキングに対して多少、ハードルをあげた程度では。

どうせなら、定期的にパスワードを変更するって条件も付けときましょうよ。

確かにこれ以外にも例え15文字以上にしても
クラックできるツールがないかと言われれば知らないところであるかもしれません。
ただ、このパスワード解析ツールは結構有名で、しかも簡単に使えてしまいます。
少なくともその対策をすれば、このツールでは解析できなくなります。
ちなみに、パスワード変更はこのツールにたいして何の効力もありません。
変更で15文字以上にするなら別ですが。

引用:

「取得」とはちょっと違うような。
そのクラックツールがブルートフォースなのか辞書式なのか知りませんが、
「取得」じゃなくて「推測」するわけですから、非常に高負荷でしょうし
確実に得られる保証もないわけですよね。

当然、方法論としてはNGでしょう。

見た感じは辞書っぽいですね。
イメージからブートCDを作り、それをPCに入れて電源入れれば勝手に起動して
最終的にadminのパスワードが画面に表示されます。
試したところ大体5分以内ぐらいで終わりました。負荷はそれ程ない感じです。
そんな何万件もやってないので確実かと言われればわかりませんが
条件を満たす環境なら、とりあえず試した中では全て解析されました。

方法論というのは、恐らく質問の返答には使えないという意味かと思いますが
最初に書いたように質問者に向けて書いたのではなく、
Windowsのパスワードは調べられないでしょ、と思われている方に情報提供した感じです。
調べられないと思ってポリシー設定をしてなかったり、パスワードが14文字以下なら
このツールでほぼ解析できてしまいますから。

あくまで注意喚起の為のレスだと思ってください。
こんなクラックツールあるんですよ。
安全だと思ってたら危ないですよ。
対策しましょうね。
という。

知ってる人は既に対策済でしょうから読み飛ばしてもらって、
知らなかった人はこれを機に対策した方がセキュリティ面でいいですよと。
少なくともこのツールで解析される事はなくなりますから。
nagise
ぬし
会議室デビュー日: 2006/05/19
投稿数: 1141
投稿日時: 2007-05-23 19:10
引用:

たー坊さんの書き込み (2007-05-23 18:21) より:
今回の要件ですが、
1.ポータルサイトにログインする。そのときにIDとパスワードを入力する。
2.その時にActive Directoryを使用して認証を行う。
3.ポータルサイトにログインする。
4.ポータルサイトから今回構築するシステムのリンクからログイン画面へ
5.そのログイン画面でユーザが情報を入力しないで、ログイン出来る様にする。

4で一切、ポータルサイトから情報がもらえません。
だからパスワードが取得出来ないかなと考えました。


なら同じくActive Directoryを使用して認証すればよいのでは?
Mattun氏がその件の情報について書いてくれていますよね。

シングルサインオンにしたい、という話と、Windowのアカウントで
ログインしたいという話に切り分けられると思うのですが、
どちらが解決しないのですか?

パスワードを持ち出してそこに流し込むという後付け感たっぷりの手法は
セキュリティ的な面からも否定されるでしょうが、
作ってる会社が分かれているようなケースではありがちな事態ですね… orz
たー坊
会議室デビュー日: 2006/01/20
投稿数: 16
投稿日時: 2007-05-28 15:38
引用:

nagiseさんの書き込み (2007-05-23 19:10) より:

なら同じくActive Directoryを使用して認証すればよいのでは?
Mattun氏がその件の情報について書いてくれていますよね。

シングルサインオンにしたい、という話と、Windowのアカウントで
ログインしたいという話に切り分けられると思うのですが、
どちらが解決しないのですか?


nagiseさん、ありがとうございます。
根本的なユーザ要件として、シングルサインオンにしてもらいたい。
そしてActive Directoryを使用して認証を行って欲しい。

認証を行う際にユーザIDとパスワードが判れば認証を行う
やり方を知っているのですが、認証を行うときに何も情報が
ない状態なので、良い方法があれば教えていただきたいです。

今回のシステムで使用するユーザIDとパスワードは、Windows
にログインするときに使用するものと同じです。

何度も同じ事を書いてしまっているかもしれませんが、
宜しくお願いします。
nagise
ぬし
会議室デビュー日: 2006/05/19
投稿数: 1141
投稿日時: 2007-05-28 16:29
引用:

たー坊さんの書き込み (2007-05-28 15:38) より:
根本的なユーザ要件として、シングルサインオンにしてもらいたい。
そしてActive Directoryを使用して認証を行って欲しい。


答えが出たようですね。
Active Directoryでの認証の仕方を調べてくださいませ。
朝日奈ありす
大ベテラン
会議室デビュー日: 2007/05/02
投稿数: 189
お住まい・勤務地: 最北の地
投稿日時: 2007-05-28 22:10
Windows User アカウント+パスとアプリのアカウント+パスが同じだと
怖い・・・
びしばし
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 181
投稿日時: 2007-05-29 10:45
引用:

たー坊さんの書き込み (2007-05-23 18:21) より:
3.ポータルサイトにログインする。
4.ポータルサイトから今回構築するシステムのリンクからログイン画面へ

とんちんかんな発言になってしまっていたら恐縮ですが...。

3の時点で認証されていて、たー坊さんが作られるアプレットは「認証済みユーザ」しか使用できないんですよね ?
それなのに、さらに認証する意味がよくわかりません。

個人識別でしたら、アプレット起動後に「今アクセスしている私は誰」をサーバに問い合わせて(IPアドレスとかでわかりませんかね)解決、とか代用できませんかね。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)