- PR -

パスワードの取得

1|2 次のページへ»
投稿者投稿内容
たー坊
会議室デビュー日: 2006/01/20
投稿数: 16
投稿日時: 2007-05-23 16:00
現在、appletを使用してログイン画面を作成しております。
このログイン時にwindowsのユーザIDとパスワードを自動取得して
ログインしたいという要望がお客さんから上がっています。

ユーザIDについては取得できるのですが、Windowsのパスワードを
取得するやり方がわかりません。
どなたかご存知ありませんか?

宜しくお願いします。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-05-23 16:07
無理です。

なぜなら、存在しても hash だけなので。
_________________
Edosson
ぬし
会議室デビュー日: 2004/04/30
投稿数: 675
投稿日時: 2007-05-23 16:11
回答じゃなくて申し訳ないですが、
たー坊さんに、質問したいです。

もし、何らかの方法でWindowsのパスワードを取得できる方法があったとして、
そんなOS、使いたいと思いますか?
nagise
ぬし
会議室デビュー日: 2006/05/19
投稿数: 1141
投稿日時: 2007-05-23 16:28
生のパスワードを取得する方法はセキュリティの観点から無いはずなのですが、
ハッシュ値なら取得できるのかもしれませんね。

とはいってもLDAPで認証情報が管理されている環境で、
かつ、appletには署名をつけてサンドボックスを抜けて
各種操作を出来るようにした上で、あるいは、という話になるでしょうから
現実的なソリューションとしては無理と思いますが。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-05-23 16:28
Webサーバ側次第ですが、Windows統合認証で実装してください。
http://www.google.co.jp/search?hl=ja&q=Windows%E7%B5%B1%E5%90%88%E8%AA%8D%E8%A8%BC&lr=
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
未記入
常連さん
会議室デビュー日: 2007/05/14
投稿数: 26
投稿日時: 2007-05-23 17:08
ちょっと問題解決とは直接関係ないですが。

ローカルならパスワード取得する方法はあります。
Ophcrack で検索するとわかると思います。

対策方法もいくつかあるので、それを実行しておきましょう。

自分はPGですが、このソフトを知り、会社でセキュリティ関係を統括している上司に
「こういうソフトあったんですけど、うちって大丈夫ですかね?」
って聞いたら、じゃあ抜き打ち検査してみようかってなって検査したら
社内の7割ぐらいがパスワード表示されてしまってました。

ポリシー設定が厳しい状態なら、パスワードを15文字以上にすれば解決します。
つまりうちの会社はポリシー設定されてなかったので
パスワードが15文字以上の社員が3割しかいなかったという事です(苦笑)

もしかしたら取得する方法がないと思ってる人が多いのかと思い
念のため書き込んでみました。
何社か勤めていますが、結構対応してないところが多かったですから。
多分皆さんの所でも対応できてない会社は意外とあると思います。
Edosson
ぬし
会議室デビュー日: 2004/04/30
投稿数: 675
投稿日時: 2007-05-23 17:58
引用:

未記入さんの書き込み (2007-05-23 17:08) より:

Ophcrack で検索するとわかると思います。

そんな、クラッキングツールなんか持ち出されても。

だいたい、OSから直接パスワードを取得する方法があるのかどうかと、
一定時間にパスワードが破れるかどうか、なんて、
自分で書いてらっしゃる通り、無関係でしょ。
引用:

ポリシー設定が厳しい状態なら、パスワードを15文字以上にすれば解決します。

こういうのって、解決といってしまっていいんですかね。
クラッキングに対して多少、ハードルをあげた程度では。

どうせなら、定期的にパスワードを変更するって条件も付けときましょうよ。
nagise
ぬし
会議室デビュー日: 2006/05/19
投稿数: 1141
投稿日時: 2007-05-23 18:12
引用:

未記入さんの書き込み (2007-05-23 17:08) より:
ローカルならパスワード取得する方法はあります。
Ophcrack で検索するとわかると思います。


「取得」とはちょっと違うような。
そのクラックツールがブルートフォースなのか辞書式なのか知りませんが、
「取得」じゃなくて「推測」するわけですから、非常に高負荷でしょうし
確実に得られる保証もないわけですよね。

当然、方法論としてはNGでしょう。

引用:

Mattunさんの書き込み (2007-05-23 16:28) より:
Webサーバ側次第ですが、Windows統合認証で実装してください。
http://www.google.co.jp/search?hl=ja&q=Windows%E7%B5%B1%E5%90%88%E8%AA%8D%E8%A8%BC&lr=


本件ではappletにそのappletが起動しているPCのログインユーザ・パスワードを
入力するという話だと思うので、サーバ側での話とは違ってきますね。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)