パスワード解析ツール『Ophcrack LIVE CD』から、パソコンを守ろう・・・（実験報告）

前回の記事で、パソコンのログインパスワードを忘れた人に、
救いの手をさしのべる方法を紹介しました。

『自分のパソコンのログインパスワードを忘れたら・・・（実験事業）』
http://shiningbrightly.blog.so-net.ne.jp/2008-07-31

ただ、この方法を利用すると、悪意をもった人に対しても有効な技。

それでは、この パスワード解析ツール『Ophcrack LIVE CD』 から、
パソコンを保護する方法を簡単に調べてみたんだ。


その結果です。

自宅のＰＣ２台のうち、１台（VAIO-WinXP HOME）はそもそも、解析ツールが起動できなかったので、
もう一台の、サブマシン VAIO－Win2000 Pro で試した結果です。

詳しい話はチンプンカンプンなんだけれど、
この、パスワード解析ツール『Ophcrack LIVE CD』の仕組みとして、
Windowsのパスワードが、LMハッシュとNTLMハッシュというものに保存されていて、
そこを解析することで、パスワードを見つけ出すツールのようです。

で、
Windows でパスワードの LAN Manger ハッシュがActive Directory とローカル SAM データベースに保存されないようにする方法
ってのが、Microsoftのサポート情報にあるんだ。
http://support.microsoft.com/default.aspx?scid=kb;ja;299656

それによると、
・グループ ポリシーを使用してNoLMHash ポリシーを実装する
・レジストリを編集してNoLMHash ポリシーを実装する
・15文字以上の長さのパスワードを使用する

の３つのうちいずれかの対策を実行すれば、LMハッシュ に保存しないようになるようです。

ちなみに、
・記号を含むパスワードを設定する
ってのも、とりあえずは、有効らしい。
（ただ、これは、パスワード解析ツール のパスワード解析テーブルなるものをバージョンアップ
　させれば、記号を含むものも、解析されてしまう。）

一番簡単にできるのは、３番目のパスワードを１５文字以上にする事。
ただ、これを実行して、パスワード忘れた日にゃ・・・解析もできないし、目も当てられないね。
１５文字 覚えていられるのかは、記憶力との戦いだね。

１番目の、グループポリシーの適用
２番目の、レジストリの編集
それぞれ、あるようだけれど・・・ちょっと難しそう。

簡単なのは、１番目の方。

”グループ ポリシーを使用して NoLMHash ポリシーを実装する”
の方法を、簡単に説明します。

"管理ツール" → "ローカル セキュリティ ポリシー" →
　画面上で、"セキュリティの設定" → "ローカルポリシー" → "セキュリティ オプション" と、
順に展開していって、右に展開された画面にて、ポリシーの一覧が表示されているので、
画面上の下の方の
[ネットワークセキュリティ:次のパスワードの変更でLANマネージャのハッシュの値を保存しない] を
ダブルクリック。
展開される画面にて、"有効" をクリックし、"OK"をクリック。
ここで、大事なのは、”次のパスワードの変更で”　となっている点。
つまり現時点ではパスワードはSAMに保存されたままとなっている。
なので、次に、パスワードを変更しましょう。
これでＯＫ！！

解析ツールからも、ブロックされ、パスワードが解析されなくなるんだよ。

いやいや、これまたスゴイ。

２番目のレジストリに関しては、気分的にあまり触りたくないよね。
じつは、ＯＳによって、変更箇所がちょっとずつ違うようだし、あまりお勧めでないかもね。。

なんだか、イタチごっこ　になっているような気もするが、何かの時に対策を打っておくのは大切な事。
『世の中悪意に満ちています』と言いたくはないけれど・・・

そんなこんなで、実験事業でした。
パスワード解析悪用しないで下さいね。あくまでも個人のレベルで使用するようお願いします。
そして、そのツールからのクラックを防ぐために対策しておく事をお勧めします。

皆さんの参考になれば幸いです(^^)

タグ：パソコン