Windowsのパスワードが危険

Microsoft社のサポートオンラインで

　Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法

という記事があります。

この記事によると

Windows において、ユーザー アカウント パスワードは、クリアテキストで保存されるのではなく、2 つの異なるパスワード表現を使用して生成され保存されます。それらの方法は、通常 "ハッシュ" と呼ばれます。15 文字より少ない文字数のパスワードでユーザー アカウントに対するパスワードを設定または変更すると、パスワードの LAN Manager ハッシュ (LM ハッシュ) と Windows NT ハッシュ (NT ハッシュ) の両方が Windows により生成されます。それらのハッシュは、ローカル セキュリティ アカウント マネージャ (SAM) データベースまたは Active Directory に保存されます。
LM ハッシュは、NT ハッシュと比較すると弱いため、総当たり方式の攻撃を受けやすくなる傾向があります。

つまり、WindowsはLMハッシュとNTLMハッシュの2つの方法でパスワードを暗号化しているのですが、LMハッシュは解読されやすいということです。

Microsoft社では下記の方法でLMハッシュを作成しない方法を公開しています。

1. グループ ポリシーを使用して NoLMHash ポリシーを実装する
2. レジストリを編集して NoLMHash ポリシーを実装する
3. 15 文字以上の長さのパスワードを使用する

パスワード解析ツール「Ophcrack」

では、Windowsのパスワードは本当に解析できるのかというと、「Ophcrack」というソフトを使用するとWindowsのパスワードがいとも簡単に解析できるようです。

実際に使用したレポートはGiGAZiNEに載っていますので、興味のある方は目を通してみてください。但し、利用するのはあくまで自分のパスワードのチェックを目的として、自己責任で行ってください。

これらのことを考えると･･･

上記の記事を見てどう思いますか？

紛失したパソコンにWindowsのパスワードを設定しているからといって、必ずしも安全とはいえないと思います。

もっとも、世の中には｢絶対｣といえるものは存在しないと思っていれば、自分の中の考え方も変わるかもしれませんが･･･。


Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
Ophcrack
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 - GIGAZINE