Ophcrack から身を守る方法

セキュリティ

IT Media のビジネス寄りの「誠 Biz ID」に、Ophcrack の紹介記事がありました。

忘れてしまったWindowsマシンのパスワードを解析する - ITmedia エンタープライズ

この記事だけ読むと、まるで Ophcrack が魔法のツールみたいに読めますが、決してそんなことはありません。

Ophcrack に関しては、一年ぐらい前にあれこれ試して書いたことがあります。

Windows のパスワード強度 Ophcrack 編 - JULYの日記

たまに、記録されているリンク元を見ると、「ophcrack not found」で検索している人の多いこと。

繰り返しますが、Ophcrack は魔法のツールではありません。Ophcrack でパスワードを見つけられないようにするのは、比較的簡単です。

OS が XP の場合、LM ハッシュを無効にする。

LM ハッシュの問題に関しては、「Windows のパスワード強度 理論編 - JULYの日記」でも書いてますが、まっとうなパスワードを設定しても解読できてしまう点です。

具体的な設定方法は、下記のページを参考にして下さい。

よりセキュリティを高めるための設定: LM ハッシュを無効にする

重要なのは、最後の「パスワードを付け直す」です。設定だけでは、設定変更前に保存された LM ハッシュが残ってしまいます。

まっとうなパスワードを付ける

LM ハッシュが残っていなければ、Ophcrack で見つけられるパスワードは、

  1. 長さが8文字未満
  2. 辞書に載っているような単語とその変形
  3. 使われている文字種が限られている。

という場合です。無償のテーブルに限ると、4文字以下の場合と、2. のケースです。

「英数記号、大文字小文字を含めて8文字以上。かつ、単語や単語をちょっともじったような物は使わない」という、言い古されたルール*1で防ぐ事ができます。

余談

にしても、

なお言うまでもないことだが、本ツールは悪用は厳禁。

と書いて、責任逃れのつもりなんだろうけど、そんなことを書くぐらいだったら、どうすれば Ophcrack から防御できるか、調べてから書いてほしいなぁ。この程度なら、個人のブログでもたくさん見つかると思うけど...。

*1:まぁ、そういうパスワードを覚えているのが難しい、というのは同情はできますが、しばらくは紙に書いたメモを見ながらでも良いですので、我慢して入力しましょう。何回も入力していれば手が覚えます。手が覚えたらメモを捨てることも忘れずに。逆に、そういったパスワードを設定していれば、「頻繁に」変更する必要は無いと思います。パスワード変更の効果に関しては、徳丸さんの記事(続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記)が参考になると思います。