2012年3月5日

北河さんのWindowsのパスワードネタに関するつぶやき

自民党の情報セキュリティ提言「パスワードを定期変更すべき」を発端とした@kitagawa_takujiさんによるWindowsパスワードに関するつぶやきのまとめ。

パソコン超漢字パスワード議員の先生にはガラケー

piyokango
7005
0
3
0

ログインしてこの広告を非表示にする

前へ 1 2 3 4 次へ

北河拓士🔰 @kitagawa_takuji

続）よって、やはりパスワードの問題はWebサービスの認証とWindowsの認証を分けて考える必要がある

2012-02-26 13:16:20

北河拓士🔰 @kitagawa_takuji

企業内ネットでCIFS/SMBを禁止するのは非現実的ではなかろうか？

2012-02-26 22:39:31

北河拓士🔰 @kitagawa_takuji

CIFS/SMBを禁止しても、NTLM認証を有効にしたWebサーバをイントラネットゾーンに立て、誘導すればブラウザが認証情報を自動送信する。(IE,Chromeの場合、FireFoxは入力プロンプトがでる）もうWindowsを禁止するしかないね。

2012-02-26 22:40:48

北河拓士🔰 @kitagawa_takuji

Windowsを使う前提なら、NTLM認証情報をキャプチャされても簡単には解析されないような複雑性を持ったパスワード・ポリシーを強制するしかないのではないか？

2012-02-26 22:44:49

北河拓士🔰 @kitagawa_takuji

Windows7、Server 2008 R2ではグループポリシーで「NTLMを制限する：リモートサーバに対する送信」を設定することによりNTLMv2認証を殺してKerberos認証オンリーに出来るようだが（既定ではもちろん制限なし）http://t.co/wsHPkspB　（続

2012-02-27 15:55:50

北河拓士🔰 @kitagawa_takuji

続）Vista以降でNTLMv2認証が既定となっただけで問題が生じ、LAN Manager 認証レベルをXPと同じレベルに落としている組織が多い現在、Kerberosオンリーを実現するのはかなりハードルが高いのではないか

2012-02-27 15:56:17

徳丸浩 @ockeghem

@kitagawa_takuji ぜひ国会のネットワークはKerberosオンリーにして、民間の模範・目標になってもらいたいですね

2012-02-27 16:00:00

北河拓士🔰 @kitagawa_takuji

@ockeghem Windowsを禁止して国産OSの超漢字にするとか

2012-02-27 16:16:54

徳丸浩 @ockeghem

@kitagawa_takuji 僕も自分なりに考えたのですよ。議員の先生方に使いやすくて、できれば国産で、セキュアで…と考えていったら、そうだ、ガラケーがあった、これしかない、と思いました:)

2012-02-27 16:29:23

moton @moton

どうしてADへの認証だけなんでしょうねぇ。SMBやSQLServerなどへのNTML認証が残念。“@ockeghem: @kitagawa_takuji ぜひ国会のネットワークはKerberosオンリーにして、民間の模範・目標になってもらいたいですね”

2012-02-27 17:58:57

北河拓士🔰 @kitagawa_takuji

@moton SQLサーバやファイルサーバでもドメイン下であればKerberos認証出来るんじゃない。

2012-02-27 19:33:56

moton @moton

@kitagawa_takuji そうなんですねー。ちょっと調べてみますー。

2012-02-27 20:11:04

北河拓士🔰 @kitagawa_takuji

@moton 業務がすべてKerberos認証に置き換えができたとしても、互換性のためにNTLMv2認証が残っているため、それを無効にしない限り、悪用される可能性は残ります。

2012-02-27 20:21:53

北河拓士🔰 @kitagawa_takuji

@ockeghem 自民党の提言は「政府及び衆参両院は」となっていますね。政府の数十万台の端末がWin7以降に置き換らないとNTLMv2認証を殺すのは無理ですね。Vistaのサポートが切れる１７年以降、現実的にはで既定で無効にされているOSが普及する頃まで難しい気がします。

2012-02-27 20:33:27

moton @moton

@kitagawa_takuji 確かに、IT企業に多いかもしれません。自部門でサーバー立てて、AD不参加。

2012-02-27 21:17:16

moton @moton

@kitagawa_takuji NASが古いsambaな場合もあるかもしれませんね。

2012-02-27 21:20:43

徳丸浩 @ockeghem

@kitagawa_takuji パスワードの定期変更が役に立つ局面というのは、既に相当やられちゃった後であるわけですが、自民党の提言を作った人たちがそれを理解して書いたがはなはだ疑問ですね

2012-02-28 07:29:17

北河拓士🔰 @kitagawa_takuji

やはりパスワードの定期変更よりもLmCompatibilityLevelの方が重要だな。XP既定の「０．LMとNTLM応答を送信」の場合、パスワードポリシーで「パスワードは、複雑さの要件を満たす必要がある」を有効、「パスワードの最低長」を１２文字にしていても危険

2012-02-28 17:36:16

北河拓士🔰 @kitagawa_takuji

「パスワードは、複雑さの要件を満たす必要がある」では大文字、小文字、数字、記号の４カテゴリの内3つを使い６文字以上、記号は必須ではない

2012-02-28 17:36:56

北河拓士🔰 @kitagawa_takuji

g3YA4KsJMCa2の様な１２文字のパスワードでもLM応答をキャプチャされると、前半７文字はレインボーテーブルで解析可能。LMは大文字と小文字を区別しないため、後半は英数字５文字の総当りになりこれは瞬殺。

2012-02-28 17:37:58

北河拓士🔰 @kitagawa_takuji

但し、前半７文字部分に記号が含まれていれば、フリーで公開されているレインボーテーブルは使えないので少しは安全。だが、LMには前半後半７文字ずつの分割、大小英字を区別しないという問題があるので数時間以内には解析可能。

2012-02-28 17:38:57

北河拓士🔰 @kitagawa_takuji

XPの場合LmCompatibilityLevelは、Vista,7の既定と同じ「３：NTLMv2応答のみ送信」、古いNASなどを使用していて互換性に問題がある場合は「２：NTLM応答のみ送信」に変更すべき

2012-02-28 17:41:03

北河拓士🔰 @kitagawa_takuji

Vista,7の場合、決してXPと同じ「０．LMとNTLM応答を送信」に下げてはいけない。

2012-02-28 17:41:22

北河拓士🔰 @kitagawa_takuji

LmCompatibilityLevelを変更できない場合は、１５文字以上のパスワードにすればLM応答は送られない（送られても無効な値が入る）

2012-02-28 17:41:54

北河拓士🔰 @kitagawa_takuji

「NTLMv2応答のみ送信」にした場合にパスワードの最小長を何文字にするかは難しいが、「パスワードは、複雑さの要件を満たす必要がある」が有効という条件で、１２文字以上なら有効期限９０日、１４文字以上なら有効期限なし、英数字記号混在なら１３文字以上で有効期限なし、で安心できるかな

2012-02-28 18:36:25

前へ 1 2 3 4 次へ

いま話題のタグ