パスフレーズ vs. パスワード Part 1
http://www.microsoft.com/japan/technet/security/secnews/articles/itproviewpoint091004.mspx
さらに、チャレンジ レスポンス プロトコルの肝となる部分はパスワード ハッシュ自体であるため、パスワードをクラックすることは意味がありません。なぜならアカウントにアクセスするのにはハッシュがあれば十分なのです。
上記部分はある部分で正しいが正確とは言えない。
例として、サーバとクライアントが通信をするときサーバがクライアントを認証したいとする。
- サーバとクライアントはお互いに同じパスワードを共有しておく。
- クライアントがサーバに接続する
- サーバがNonce*1をクライアントに送信する
- クライアントが Hash(Nonce+パスワード)をサーバに送信する
- サーバが、クライアントから受け取ったハッシュ値と自ら計算したHash(Nonce+パスワード)を比較する
- 比較結果が等しければサーバとクライアントは等しいパスワードを持っている
- 等しいパスワードを持っていれば正しいクライアントに違いない
このまどろっこしい方法を使うメリットは、ネットワークにパスワードがそのまま流れずに相手が等しいパスワードを持っているかを検証できることだ。さらに、サーバーは 3番目で生成した Nonce と5番目で生成した Nonce が等しいかを比較することで、再生攻撃を防ぐことができる。
Nonce の検証は HTTP のようなステートレスなプロトコルでは実装できない。HTTPの場合は、クライアントはハッシュ値と共に Nonce をサーバに送信する。サーバは受け取った Nonce からハッシュ値を計算するので、攻撃者はネットワークに流れる Nonce とハッシュ値を得れば、パスワードが使用できなくなるまでサーバのリソースにアクセスすることができる。
*1:乱数値
パスフレーズ vs. パスワード Part 1
LMハッシュはかつてのもので、もはや使うべきではない。しかし、単に削除すればよいわけではなく、Windows Cluster Services、Real Time Communications Serverなどを動かしている場合には注意が必要。この場合の解決策も書いてある。
http://www.microsoft.com/japan/technet/security/secnews/articles/itproviewpoint091004.mspx
VNCサーバを中心に遠隔操作ソリューションのまとめ
網羅性はないけれど、何かの役にたつと思います。
連絡もらえたらきっと更新します。
あるでんどんさんの投稿 http://d.hatena.ne.jp/wabix/20041003 を追加。
■■■はじめに 2004/10/11 この文書の読み方 「■■■」で始まる行は見出しです。 行頭の日付は最後に更新した日。 日付の次の行が、アプリケーションの名前。 アプリケーションの名前の次の行が、URL。 そのあとは簡単な説明、要約、補足、など。 ■■■サーバ&ビュアー 2004/10/03 RealVNC http://www.realvnc.com/ オープン・ソースで、クロス・プラットフォームな遠隔制御ソリューション。 VNC - Virtual Network Computing の略。あるコンピュータでサーバを 動かして、インターネット上の別のコンピュータからビュアーで操作する。 2004/10/03 tridiaVNC http://www.tridiavnc.com/ 商用製品らしいが、どういった特徴があるかはわからなかった。 TridiaVNC (無料)はサポートされず、TridiaVNC Pro がサポート対象。 2004/10/03 TightVNC Software http://www.tightvnc.com/ RealVNC から派生したソフトウェア。 RealVNC の機能追加版が TightVNC といってもいいだろう。 TightVNC 1.3dev5 の DFMirage hook display driver を使えば、 Win32 用の Tight VNC サーバのパフォーマンスが向上する。 http://www.tightvnc.com/intro.html File transfers in Win32 version. Local cursor handling. Efficient compression algorithms. Configurable compression levels. Optional JPEG compression. Enhanced Web browser access. Support for two passwords (full-control and read-only). Advanced Properties dialog in WinVNC. Flexible configuration options. Automatic SSH tunneling on Unix. And more. 2004/10/03 Ultr@VNC http://ultravnc.sourceforge.net/ RealVNC との差は書かれていない。以下、機能を列挙。 * File Transfer with intuitive Graphical User Interface * Optional Video Driver for high speed and low CPU (W2000/XP/2003), Ddi hooking (Win 9.x) * NT Domain and Active Directory based security * High speed and performances over LAN connections. * Very good responsivness over slow connections (cable, modem) * Embedded Client/Server Text Chat * Optional Data Stream Enrcryption Plugin * Viewer with Auto Configuration, Quick Options and Auto Scaling * Standard Win32 Viewer and JavaViewer connections over TCP/IP * Supported Operating Systems: Win9x/NT4/Win2000/XP/2003 * Viewer Toolbar and Hot keys * View Modes: Full-Screen, Scaled and Windowed * Viewer Status Window * Dynamic Single Window/Full Desktop view switching * Backward Compatible with others VNC flavors. * Support for 32/24/16/8 bits colors * Server's Desktop dynamic resolution switching * Server Screen Blanking/mouse locking from viewer side * Bandwidth Saving technologies : Bitmap Cache management, server screen scaling * Possibility to send Ctrl-Alt-Del to the remote server ■■■ 日本語化パッチ、漢字キー対応パッチ 2004/10/11 RealVNC Ver.4.0 漢字キー対応3 http://blog.underdone.net/sb.cgi?cid=33 2004/10/11 RealVNC Ver.4.0 日本語版(漢字キー対応3) http://blog.underdone.net/sb.cgi?cid=30 2004/10/11 TightVNC Ver.1.2.9 漢字キー対応3 http://blog.underdone.net/sb.cgi?cid=32 2004/10/11 ultr@vnc 漢字キー対応版 http://blog.underdone.net/sb.cgi?cid=31 2004/10/03 Ultr@VNC の日本語化 http://www.neime-i.itss.ac/contents/bfact.html#uvn 1.00 RC18 用パッチ。 2004/10/03 TightVNC の日本語化 http://page.freett.com/seikatsu/patch.htm Ver1.2.6 用パッチ。 2004/10/03 WinVNC 日本語化 http://page.freett.com/seikatsu/patch.htm Ver3.3.3r9 用パッチ。 ■■■サーバー 2004/10/04 OSXVnc http://www.redstonesoftware.com/vnc.html Mac OS X で動く VNC サーバ。クライアントが付属しているか不明。 2004/10/31 xf4vnc http://xf4vnc.sourceforge.net/ XFree86 4.x 上で動く VNC サーバらしい。 ■■■ビュアー 2004/10/31 MetaVNC MetaVNCは、複数のホストに分散したアプリケーションを、 単一のリモートデスクトップ環境でシームレスに扱えるようにするシステムです。 2004/10/03 PalmVNC http://palmvnc2.free.fr/ Palm OS 上で動作する VNC Viewer。 2004/10/03 Chicken of the VNC http://sourceforge.net/projects/cotvnc/ Mac OS X 上で動作する VNC Viewer。 2004/10/03 Keypebble VNC Viewer Linux Zaurus 用ビュアー。 http://opie.handhelds.org/ ■■■ VNC 関連 その他 2004/10/03 vnc2swf http://www.unixuser.org/~euske/vnc2swf/index-j.html Vnc2swf は画面録画ツール。 X-Window (X11)、Windows および Mac OS の画面を記録できます。 Vnc2swf は VNC プロトコル を使って動きを記録し、 それを Macromedia Flash(TM) ムービー形式 (.swf 形式) に変換します。 2004/10/03 LibVNCServer http://libvncserver.sourceforge.net/ VNC Server を作るためのライブラリ。 2004/10/03 ChromiVNC http://www.chromatix.uklinux.net/vnc/ 最終リリースが 2001 年。古いので未調査。Mac 用 VNC。 ビュアーだけでなくサーバもありそう。 Does not support MacOS X due to vastly different system architecture in use. OS X はサポートしていない。 ■■■ VNC では無い遠隔制御 2004/10/03 Windows XP についてるリモートデスクトップ http://www.atmarkit.co.jp/fwin2k/xp_feature/012remotedesktop/remotedesktop_01.html TCP 3389 を使う。Windows 専用。 2004/10/03 pcANYWHERE32 未調査。 2004/10/03 Desktop On−Call 未調査。 2004/10/03 リモコン倶楽部 未調査。 2004/10/03 LAPLINK2000 未調査。 ■■■ その他 2004/10/03 MetaFrame クライアントは遠隔コンピュータを操作する端末で、 処理は MetaFrame サーバが集中して行うソリューション。
