none
パスワードが盗まれる可能性はありますか? RRS feed

  • 質問

  • いつもお世話になっております。

    Windows端末からAD(Kerberos)認証成功後
    Windows Server 2016のADドメインにサインインいたしました。

    このとき、Windows端末の「Windows資格情報」などから
    認証時に入力したパスワードを読み取ることは可能でしょうか?

    認証に使ったパスワードのハッシュやKerberosチケットが
    キャッシュされると認識いたしておりますが
    パスワードそのものを読み取ることはできないと認識いたしております。

    しかしながらJPCERT資料(60ページ)を拝見いたしましたところ
    場合によってはキャッシュされたWindows資格情報から
    パスワードそのものを読み取れてしまうようにも受け取れました。
    https://www.jpcert.or.jp/research/AD_report_20170314.pdf

    お忙しいところ大変恐縮ですが、情報をお持ちでしたら
    ご教示いただけますと幸いです。何卒よろしくお願いいたします。
    2018年7月31日 15:13

回答

  • 認証情報であるハッシュやチケットからパスワードそのものはわからなくても、そのハッシュと一致するパスワードを調べたり、チケットを悪用したりすることができます。

    Kerberos 認証に対する攻撃と対策:KRBTGT Account Password Reset Scripts
    https://blogs.technet.microsoft.com/jpsecurity/2015/07/29/kerberos-krbtgt-account-password-reset-scripts/

    JPCERTの資料60ページで2012R2ベースOSのデフォルト値と同等という条件であれば、平文は保存されません。ただし上記のような問題もあるので、認証情報自体が保存されているところは「×」になっているのでしょう。

    • 回答としてマーク jabizog 2018年8月17日 7:37
    2018年8月1日 2:08

すべての返信

  • 認証情報であるハッシュやチケットからパスワードそのものはわからなくても、そのハッシュと一致するパスワードを調べたり、チケットを悪用したりすることができます。

    Kerberos 認証に対する攻撃と対策:KRBTGT Account Password Reset Scripts
    https://blogs.technet.microsoft.com/jpsecurity/2015/07/29/kerberos-krbtgt-account-password-reset-scripts/

    JPCERTの資料60ページで2012R2ベースOSのデフォルト値と同等という条件であれば、平文は保存されません。ただし上記のような問題もあるので、認証情報自体が保存されているところは「×」になっているのでしょう。

    • 回答としてマーク jabizog 2018年8月17日 7:37
    2018年8月1日 2:08
  • やき(Yaki)様

    ご丁寧な回答をいただきまして誠にありがとうございます。

    Kerberosは安全な仕組みですが、平文が保存されなくても
    総合的な対策をする必要があります旨、理解いたしました。

    ご指導いただきまして、ありがとうございました。
    御礼が遅くなりましたことをお詫び申し上げます。
    失礼いたします。
    2018年8月17日 7:43