Размер видео: 1280 X 720853 X 480640 X 360
Показать панель управления
Автовоспроизведение
Автоповтор
わかりやすいご説明ありがとうございました。レインボー攻撃めっちゃ面倒臭いですよね。なんでわざわざこんな面倒なことして攻撃するのか…素人には理解できないですw
まさるさんのお陰で本日Security+合格しました。CCNAや情報処理安全確保士などの動画と問題で出る用語や内容が被ってるところがあったんですが、テキストだといまいちチンプンカンプンだったんで動画見て理解して挑んだら合格できました。ありがとうございます。
820 d919さんSecurity+合格おめでとうございます!新年良いスタートになりますね☺動画見て頂きありがとうございます。今後もいろいろお役に立てる動画を作っていけるように頑張ります(^^)
攻撃者はソルトをどうやって知りうるんでしょうか。初心者なものですみません。
おじさんさんコメント、ご質問ありがとうございます。例えばshadowファイルというものがありそこでハッシュ化されたパスワードとソルトを一元管理しているファイルがあります。このファイルを攻撃者は取得する事でソルトを知る事ができます。参考URLwww.unknownengineer.net/entry/2017/08/16/184537
もし漏れたのが数人程度のデータベースでその中に使われやすいパスワードを使った人がいた場合はどんなに長いソルトをつけていたとしても数人分のソルト×使われやすいパスワードで対応表を作られてその人のパスワードがバレてしまうということですか?
Hikaさんコメントありがとうございます。it-trend.jp/encryption/article/64-0068>ソルト化によるメリットの1つは、元のデータを長くすることでレインボー攻撃を防げることです。>レインボー攻撃を困難にするには、20桁以上の文字数を付加するのが目安とされています。上記サイトにありますように一定の長さのソルトがあれば、レインボー攻撃をふせげるようです。私も教科書レベルの知識しかなく、実際にはどうなのか?という事についてはあまり分からないのが正直なところです。お役に立てずすみません(>_
来年4月試験を受ける予定で、ここの動画にたどり着いて、見ながら勉強されて頂いてます。ありがとうございました。ひとつ不明なのは、攻撃者はすでにソルト値はわかってるのに、なぜソルトの部分もいろんなパターで試す必要ですか?初心者なので、ごく簡単な問題だと思いますが、笑わないでね
コメントありがとうございます。分かりにくい表現になっており、すみません💦攻撃者目線で考えると、ソルトがわかった時に、そのソルトとよく使われそうなパスワードで作られたハッシュ値の一覧を作るのは非常に手間がかかります。攻撃者は”事前に”様々なソルトとよく使われそうなパスワードで作られたハッシュ値で一覧を作っておけば解析の効率が非常にあがります。しかし、ソルトのバリエーションが多いとそれができないのです。私はこのように理解しております。ご参考になれば幸いです☺
@@masaru-study ご返信ありがとうございました。ご丁寧に説明いただき、理解いたしました。これからもほかの動画を勉強させていただきます。
求めたいハッシュ値がレインボーリストを作る際に捨てたチェーンの途中のハッシュ値と一致する場合はクラッキングは成功しないということでしょうか?
bf aftさんコメントありがとうございます。>求めたいハッシュ値がレインボーリストを作る際に捨てたチェーンの途中のハッシュ値と一致する場合はクラッキングは成功しないということでしょうか?はい、途中のハッシュ値であればクラッキングは成功しないと思います。office110.jp/security/knowledge/cyber-attack/rainbow-attack#:~:text=%E3%83%AC%E3%82%A4%E3%83%B3%E3%83%9C%E3%83%BC%E6%94%BB%E6%92%83%EF%BC%88Rainbow%20Attack%EF%BC%89%E3%81%A8,%E3%81%8C%E7%8B%99%E3%82%8F%E3%82%8C%E3%82%8B%E3%81%AE%E3%81%A7%E3%81%99%E3%81%AD%E3%80%82上記のサイトでも分かりやすく説明してくれているのでもしよろしければご覧ください😊
いつも楽しく勉強させていただいています。もうすぐ試験ですね。リクエストになりますがクロスサイトスクリプティングやクロスサイトリクエストフォージェリについての解説をお願いします。試験では必須で勉強していますがいまいち分かっていないです。反射型、蓄積型、DOM型 DOMってモビルスーツ??ってレベルです。
1120 kakkunさんコメントありがとうございます!本当にもうあっという間に試験ですね。リクエストありがとうございます!確かに、クロスサイトスクリプティングやクロスサイトリクエストフォージェリについては分かり辛いですよね。ドムがジオン公国軍の陸戦用量産機って事は分かるんですけどね…リクエスト頂いたので、ご期待に応えたい所ですが、試験までにスケジュール的に動画作成は難しそうです💦なので、参考になりそうなサイトを紹介します。IPAのAppGoat というツールはご存知ですか?www.ipa.go.jp/security/vuln/appgoat/toolabust.htmlこのツールでは、実際にコードを見ながら脆弱性が学習できるツールです。取り上げる脆弱性の中で、クロスサイト・スクリプティングCSRF(クロスサイト・リクエスト・フォージェリ)もありますので参考になると思います。もしお時間あれば、おすすめの面白いツールなので試してみて下さい(^^)
わかりやすいご説明ありがとうございました。レインボー攻撃めっちゃ面倒臭いですよね。なんでわざわざこんな面倒なことして攻撃するのか…素人には理解できないですw
まさるさんのお陰で本日Security+合格しました。CCNAや情報処理安全確保士などの動画と問題で出る用語や内容が被ってるところがあったんですが、テキストだといまいちチンプンカンプンだったんで動画見て理解して挑んだら合格できました。ありがとうございます。
820 d919
さん
Security+合格おめでとうございます!
新年良いスタートになりますね☺
動画見て頂きありがとうございます。
今後もいろいろお役に立てる動画を作っていけるように頑張ります(^^)
攻撃者はソルトをどうやって知りうるんでしょうか。
初心者なものですみません。
おじさんさん
コメント、ご質問ありがとうございます。
例えばshadowファイルというものがあり
そこでハッシュ化されたパスワードと
ソルトを一元管理しているファイルがあります。
このファイルを攻撃者は取得する事で
ソルトを知る事ができます。
参考URL
www.unknownengineer.net/entry/2017/08/16/184537
もし漏れたのが数人程度のデータベースでその中に使われやすいパスワードを使った人がいた場合はどんなに長いソルトをつけていたとしても数人分のソルト×使われやすいパスワードで対応表を作られてその人のパスワードがバレてしまうということですか?
Hika
さん
コメントありがとうございます。
it-trend.jp/encryption/article/64-0068
>ソルト化によるメリットの1つは、元のデータを長くすることでレインボー攻撃を防げることです。
>レインボー攻撃を困難にするには、20桁以上の文字数を付加するのが目安とされています。
上記サイトにありますように
一定の長さのソルトがあれば、レインボー攻撃をふせげるようです。
私も教科書レベルの知識しかなく、
実際にはどうなのか?という事については
あまり分からないのが正直なところです。
お役に立てずすみません(>_
来年4月試験を受ける予定で、ここの動画にたどり着いて、見ながら勉強されて頂いてます。ありがとうございました。ひとつ不明なのは、攻撃者はすでにソルト値はわかってるのに、なぜソルトの部分もいろんなパターで試す必要ですか?初心者なので、ごく簡単な問題だと思いますが、笑わないでね
コメントありがとうございます。
分かりにくい表現になっており、すみません💦
攻撃者目線で考えると、
ソルトがわかった時に、そのソルトとよく使われそうなパスワードで作られたハッシュ値の一覧を作るのは
非常に手間がかかります。
攻撃者は”事前に”様々なソルトとよく使われそうなパスワードで作られたハッシュ値で一覧を作っておけば
解析の効率が非常にあがります。
しかし、ソルトのバリエーションが多いとそれができないのです。
私はこのように理解しております。
ご参考になれば幸いです☺
@@masaru-study ご返信ありがとうございました。ご丁寧に説明いただき、理解いたしました。これからもほかの動画を勉強させていただきます。
求めたいハッシュ値がレインボーリストを作る際に捨てたチェーンの途中のハッシュ値と一致する場合はクラッキングは成功しないということでしょうか?
bf aftさん
コメントありがとうございます。
>求めたいハッシュ値がレインボーリストを作る際に捨てたチェーンの途中のハッシュ値と一致する場合はクラッキングは成功しないということでしょうか?
はい、途中のハッシュ値であればクラッキングは成功しないと思います。
office110.jp/security/knowledge/cyber-attack/rainbow-attack#:~:text=%E3%83%AC%E3%82%A4%E3%83%B3%E3%83%9C%E3%83%BC%E6%94%BB%E6%92%83%EF%BC%88Rainbow%20Attack%EF%BC%89%E3%81%A8,%E3%81%8C%E7%8B%99%E3%82%8F%E3%82%8C%E3%82%8B%E3%81%AE%E3%81%A7%E3%81%99%E3%81%AD%E3%80%82
上記のサイトでも分かりやすく説明してくれているので
もしよろしければご覧ください😊
いつも楽しく勉強させていただいています。もうすぐ試験ですね。リクエストになりますがクロスサイトスクリプティングやクロスサイトリクエストフォージェリについての解説をお願いします。試験では必須で勉強していますがいまいち分かっていないです。反射型、蓄積型、DOM型 DOMってモビルスーツ??ってレベルです。
1120 kakkunさん
コメントありがとうございます!
本当にもうあっという間に試験ですね。
リクエストありがとうございます!
確かに、クロスサイトスクリプティングやクロスサイトリクエストフォージェリについては
分かり辛いですよね。
ドムがジオン公国軍の陸戦用量産機って事は分かるんですけどね…
リクエスト頂いたので、ご期待に応えたい所ですが、
試験までにスケジュール的に動画作成は難しそうです💦
なので、参考になりそうなサイトを紹介します。
IPAのAppGoat というツールはご存知ですか?
www.ipa.go.jp/security/vuln/appgoat/toolabust.html
このツールでは、実際にコードを見ながら脆弱性が学習できるツールです。
取り上げる脆弱性の中で、
クロスサイト・スクリプティング
CSRF(クロスサイト・リクエスト・フォージェリ)
もありますので参考になると思います。
もしお時間あれば、おすすめの面白いツールなので
試してみて下さい(^^)