[2904] 当然仮定すべきでは？

記事個別表示 (2904)

これは「水無月ばけらのえび日記 : ニフティのパスワードは読み出し可能」に関連するコメントです。

soda (2005年4月30日 19時50分)

NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。

PPP の認証に PAP を使っている ISP なら、プロトコル上クリアテキストで送るわけですから、プロトコルダンプをとれば、当然分かります。

認証に CHAP を使っている場合、CHAP の仕様上、クリアテキストを求めることができる形式でパスワードをデータベースに格納する必要があります。CHAP の場合、プロトコルダンプをとってもパスワードは分かりませんが、むしろ、より簡単な方法で、管理者はパスワードを知ることができるわけです。

CHAP の方が盗聴には強いですから、最近はむしろ CHAP を使う ISP が増えているのではないですか？

NIFTY の場合、PPPの接続手順として、PAP を使う方法を図示していますから、確かにデータベース上ではクリアテキストで保存されてない可能性もあったわけですが、セキュリティ上は、それを仮定しない方が良いと思います。

相手が ISP であろうとなかろうと、共有鍵を用いた認証を行なう場合には、管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

これは「水無月ばけらのえび日記 : ニフティのパスワードは読み出し可能」に関連するコメントです。
全読: [2892]Re: 「ニフティのパスワードは読み出し可能」からのスレッド(25件)]
- [2892] Re: 「ニフティのパスワードは読み出し可能」 : ショックにより匿名 (2005年4月28日 21時49分)
  - [2893] Re: 「ニフティのパスワードは読み出し可能」 : asa (2005年4月28日 22時6分)
    - [2894] Re: 「ニフティのパスワードは読み出し可能」 : ばけら (2005年4月28日 23時40分)
  - [2895] Re: 「ニフティのパスワードは読み出し可能」 : ばけら (2005年4月28日 23時43分)
  - [2896] Re: 「ニフティのパスワードは読み出し可能」 : asa (2005年4月29日 1時12分)
  - [2900] Re: 「ニフティのパスワードは読み出し可能」 : 鈴木 (2005年4月29日 15時55分)
    - [2901] Re: 「ニフティのパスワードは読み出し可能」 : ばけら (2005年4月29日 19時13分)
  - [2904] 当然仮定すべきでは？ : soda (2005年4月30日 19時50分)
    - [2905] Re: 当然仮定すべきでは？ : のぐー (2005年4月30日 21時45分)
      - [2906] Re: 当然仮定すべきでは？ : のぐー (2005年4月30日 21時49分)
        [2909] Re: 当然仮定すべきでは？ : ばけら (2005年4月30日 22時3分)
      - [2907] Re: 当然仮定すべきでは？ : ばけら (2005年4月30日 21時50分)
  - [2910] Re: 「ニフティのパスワードは読み出し可能」 : shibaten (2005年5月1日 22時15分)
  - [2921] Re: 「ニフティのパスワードは読み出し可能」 : ＩＢ (2005年5月3日 23時59分)
    - [2923] Re: 「ニフティのパスワードは読み出し可能」 : ばけら (2005年5月5日 11時33分)
      - [2939] Re: 「ニフティのパスワードは読み出し可能」 : nog. (2005年5月7日 20時17分)
  - [2922] Re: 「ニフティのパスワードは読み出し可能」 : wednesday (2005年5月5日 3時37分)
    - [2924] Re: 「ニフティのパスワードは読み出し可能」 : ばけら (2005年5月5日 11時42分)
      - [2925] Re: 「ニフティのパスワードは読み出し可能」 : yuu (2005年5月6日 9時58分)
        [2926] Re: 「ニフティのパスワードは読み出し可能」 : ばけら (2005年5月6日 10時32分)
        [2927] Re: 「ニフティのパスワードは読み出し可能」 : yuu (2005年5月6日 18時4分)
        [2928] Re: 「ニフティのパスワードは読み出し可能」 : ばけら (2005年5月6日 18時22分)
        [2935] Re: 「ニフティのパスワードは読み出し可能」 : asa (2005年5月7日 12時7分)
        [2936] Re: 「ニフティのパスワードは読み出し可能」 : yuu (2005年5月7日 14時48分)
        [2932] Re: 「ニフティのパスワードは読み出し可能」 : むらまさ (2005年5月7日 2時41分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。 >PPP の認証に PAP を使っている ISP なら、プロトコル上クリアテキストで送るわけですから、プロトコルダンプをとれば、当然分かります。 >認証に CHAP を使っている場合、CHAP の仕様上、クリアテキストを求めることができる形式でパスワードをデータベースに格納する必要があります。CHAP の場合、プロトコルダンプをとってもパスワードは分かりませんが、むしろ、より簡単な方法で、管理者はパスワードを知ることができるわけです。 >CHAP の方が盗聴には強いですから、最近はむしろ CHAP を使う ISP が増えているのではないですか？ >NIFTY の場合、PPPの接続手順として、PAP を使う方法を図示していますから、確かにデータベース上ではクリアテキストで保存されてない可能性もあったわけですが、セキュリティ上は、それを仮定しない方が良いと思います。 >相手が ISP であろうとなかろうと、共有鍵を用いた認証を行なう場合には、管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。