ブラウザのオートコンプリートでパスワードを覚えさせている場合、それなりに暗号化とかして保存されてるとは思うんですが、ぶっちゃけ解読は簡単ですか?
もし簡単なら、キーロガーを仕組まれるより可能性高いということですよね?
ちなみにブラウザはInternet ExplorerとFirefoxの場合が知りたいです。ブラウザの脆弱性をついて、キーロガーかオートコンプリートクラックが仕組まれるという設定です。
オートコンプリートの危険性に関してはこちらに詳しく載っています。
http://www.nikkeibp.co.jp/sj/column/q/02/index.html
結論から言えば、「仕組まれる可能性」自体はキーロガーもオートコンプリートクラックも変わらないのではないかと思いますが、抜き取られたデータの精度(危険性)はオートコンプリートデータを読まれた時の方が高いのではないでしょうか。
暗号化はハッシュ関数を使っているはずなので、総当りかけて見つけることになると思います。
少し前は8桁で英数字と特殊記号を織り交ぜたパスワードを見つけるのに半年かかるって言われてましたけど、今はもっと早くに解析できるみたいです。
そういう意味だとキーロガー仕込まれたほうがパスを取られやすいですね。
最近は特定のサイトにアクセスした時にだけ記録するロガーも見つかってるらしいです。
ブラウザのオートコンプリート機能がハッシュ関数を使っているのですか?
それはないと思います。
解読方法は色々とあると思うのですが、セキュリティー上大きな声で言えない分部もありますね?
ぶっちゃけで言うと、やり方によっては、難しくないと思うのですが。。
どのレジストリ 或いは ファイルの情報を取得されるかにもよりますし 同じ IEでも6と7では違うようです。
簡単にだと この記事
ちょっと知っていたら 同じ記事の下の方から
リンクを辿っていくといいかもしれません。
目的が分かりませんので、これくらいで勘弁して下さい。
Firefoxについては、情報はありません。
回答ありがとうございます。
僕はただ単に自宅でオートコンプリート使った方がいいのかパスワード毎回入力した方がいいのか知りたいだけです。
ページにのっている「テキストファイル持参」という発想は僕は初めて知りました。やってみようと思います。でもこれでも、画面キャプチャとかクリップボード監視とかされたらだめそうですね。
Firefoxについて、情報ないとのことですが、ソースが公開されている以上、IEより解読は簡単だと予想していました。
オートコンプリートの危険性に関してはこちらに詳しく載っています。
http://www.nikkeibp.co.jp/sj/column/q/02/index.html
結論から言えば、「仕組まれる可能性」自体はキーロガーもオートコンプリートクラックも変わらないのではないかと思いますが、抜き取られたデータの精度(危険性)はオートコンプリートデータを読まれた時の方が高いのではないでしょうか。
なるほどよくわかりました。確かにキーロガーで得られる情報はオートコンプリート解読ほどは役に立たなそうですね。
記事はとても参考になりました。
どうもありがとうございます。
なるほどよくわかりました。確かにキーロガーで得られる情報はオートコンプリート解読ほどは役に立たなそうですね。
記事はとても参考になりました。
どうもありがとうございます。