実はWindowsのパスワードは安全ではない？！

最近はあまり耳にしなくなりましたが

　　｢パソコンを紛失して個人情報が流出した｣

というニュースをちょっと前までよくありました。しかし、そのニュースの詳細を見てみると

　　｢パスワードをかけているので、個人情報が流出することは考えにくい｣

と言っています。

ここで言っている｢パスワード｣はおそらくWindowsへログインするためのパスワードを意味していると思うのですが、このWindowsのパスワードって本当に安全なのでしょうか？

以下の記事を見てしまうと、ただ単なるWindowsのパスワードでは完全なブロックはできないということになってしまいますね。

詳細は以下より。

Windowsのパスワードが危険

Microsoft社のサポートオンラインで

　Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法

という記事があります。

この記事によると

Windows において、ユーザー アカウント パスワードは、クリアテキストで保存されるのではなく、2 つの異なるパスワード表現を使用して生成され保存されます。それらの方法は、通常 "ハッシュ" と呼ばれます。15 文字より少ない文字数のパスワードでユーザー アカウントに対するパスワードを設定または変更すると、パスワードの LAN Manager ハッシュ (LM ハッシュ) と Windows NT ハッシュ (NT ハッシュ) の両方が Windows により生成されます。それらのハッシュは、ローカル セキュリティ アカウント マネージャ (SAM) データベースまたは Active Directory に保存されます。
LM ハッシュは、NT ハッシュと比較すると弱いため、総当たり方式の攻撃を受けやすくなる傾向があります。

つまり、WindowsはLMハッシュとNTLMハッシュの2つの方法でパスワードを暗号化しているのですが、LMハッシュは解読されやすいということです。

Microsoft社では下記の方法でLMハッシュを作成しない方法を公開しています。

1. グループ ポリシーを使用して NoLMHash ポリシーを実装する
2. レジストリを編集して NoLMHash ポリシーを実装する
3. 15 文字以上の長さのパスワードを使用する

パスワード解析ツール「Ophcrack」

では、Windowsのパスワードは本当に解析できるのかというと、「Ophcrack」というソフトを使用するとWindowsのパスワードがいとも簡単に解析できるようです。

実際に使用したレポートはGiGAZiNEに載っていますので、興味のある方は目を通してみてください。但し、利用するのはあくまで自分のパスワードのチェックを目的として、自己責任で行ってください。

これらのことを考えると･･･

上記の記事を見てどう思いますか？

紛失したパソコンにWindowsのパスワードを設定しているからといって、必ずしも安全とはいえないと思います。

もっとも、世の中には｢絶対｣といえるものは存在しないと思っていれば、自分の中の考え方も変わるかもしれませんが･･･。


Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
Ophcrack
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 - GIGAZINE