なぜかophcrackってそのものなパッケージがありますねｗ
johnとかのパスワードクラックツールは古くからの有名どころですかね。

その他で類するパッケージは
apt-cache search password crack
などで調べられます。

設定でどうにかしようとするなら
/etc/pam.d/common-password
あたりをいじりたおすとかが必要ですが、パスワードクラックに一番有効なのは扱う人間がまずは
・英大文字・英小文字・記号・数字をすべて網羅する
・できるだけ長くする
という両方の条件を満たすことを意識することが前提ですね。
その他、
・他のサーバ/サービス等のアカウントと同じパスワードを使用しない
・他人から類推しずらいものを使う
というのも必要な条件でしょう。

100%セキュアな環境は無理ですから「ログインされたくない」で考える以外に「ログインされた場合」も考慮して扱うことも必要かと。

基本的にシングルユーザモードで操作されたらパスワードなんて無意味ですので、この場合なにを守りたいのかをはっきりさせる必要があります。

個別のファイルを守りたい→gpgで暗号化。
特定のディレクトリを保護したい→暗号化FSを利用。

など。

どんなコンピュータだって不可能です。
誰かに貸してしまったら、そのコンピュータを起動させずに、ハードディスクを外して持ち去られたらお手上げです。
解析時間は十分確保されます。ドライバ1本で十分です。
パスワードやクラック防御の問題は基本的にネットワーク越しの侵入をさせないことに力点が置かれています。
逆の発想で、他人に貸し出すコンピュータにパスワードは無意味ですので、使うコンピュータと貸し出すコンピュータを分ける。

紙に書かないと記憶できないほどパスワードをできるだけ長くする方が、覚えられる程度のパスワードを使うより安全です。

東京花子1 による投稿:

私が使っているパソコンは、ノートパソコンなので、電車に置き忘れてしまうことがあると思う。
色々な人が使わなければ、PC上の作業が進まないので、どうしてもノートパソコンを他人に貸さなければいけない。
(snip)
あまりパスワードが、難しかったり、長すぎると、多くの人がノートパソコンを共有出来ないし
(snip)

そもそも「パスワードを共有しようとしている」にも関わらず、パスワードクラックツール周辺の話を持ち出すのはおかしな話ですね。
クラックされる以前にPCを使う権限のある人々にパスワードが漏れているのですから。
まずはそのPCを使う一人ひとりにアカウントを作り、パスワードを設定する状況から作りましょう。

その上でランダムにするとか長くするとかの対策をしましょう。

なおこのへんの情報セキュリティの基本ができていない環境でどうにかするのであれば、このフォーラムではなく情報セキュリティの専門家にお金を払ってアドバイスを受けたほうが無難です。(嫌味でもなんでもなく

# ここで言う「情報セキュリティ」は機密性のみなレベルでなく、完全性とか可用性とかの話まで含まれるものを言います

作業をする人間が複数いて、パスワードクラックツールを入れられて困るのであれば、
・そういう関連の情報をとにかく収集する
・対策が打てるように学習する
という自助努力が必要です。

上記の「ランダムにする」とか「長くする」という対策の有効性をご自分で理解しなければ、引用部分以外の「○○を教えてください」という理解しないままの質問を続けるだけかと。
例えばcommon-passwordファイルの具体例だって「どういう対策を具体的にしたいか」がない限りは、このフォーラムレベルでなくとも専門家でもアドバイスはできません。

本当にこの様な対策が必要であれば、質問をする前にご自分の姿勢を正し、且つ目先の問題解決にとらわれずに大局に立った形を考えた上で行うことが必要かと。

http://support.microsoft.com/kb/299656/ja

こういうのでubuntu版があればって話です。でも俺様によると、リナックスはセキュリティーに万全で、ウィルスの９５パーセントはウィンドウズなので、こんな話してること自体どうかなって。

「そもそも「パスワードを共有しようとしている」にも関わらず、パスワードクラックツール周辺の話を持ち出すのはおかしな話ですね。」

この考えに同感です。一つ良い勉強になりました。

東京花子1 による投稿:

http://support.microsoft.com/kb/299656/ja
こういうのでubuntu版があればって話です。

# すでにUbuntuとかってレベルの話でもなんでもないですねぇ...。

そもそもWindowsの話を理解されてますか?
「古いLAN Manager時代のネタに互換性を持たせていると危険」というだけの話で、過去を捨てきれてなかったWindowsサーバの話です。

# まぁそれにお付き合いしてたsambaってソフトウェアもあったわけですが。

つまり「それで良かった/それでも充分だったという過去を捨てる」だけの話です。
このような話がある環境を見て、そんな状況がほぼ発生していないであろう環境をどうにかしようと考えるのは、無駄なコストだとは思いませんか?

----
アカウントに付与すべき/付与される権限についての理解を深めれば、aaabbbcccdddeeefffggghhhさんの書かれたことは納得できるかと。
それ以上に対策を施したいのであれば、yamaさんの書かれたとおり、個別の対策をするなどが考えられます。

他にも手はいくらでもありますけど、実際その対策をうつコストと効果を見極められない状態がある限りは、何をやってもその場しのぎの小手先にしか過ぎません。
たぶん小手先を今実施したとしても、身につかない技はあとで痛い目にあう可能性は高いでしょう。

# そして最初に戻って永久ループですかね... X-(

いくつか指摘しておきますね。

funatogawa による投稿:

東京花子1さんの示す問題点を見てきましたが、個々のコンピュータの話ではないようですね。
LMハッシュかNTハッシュかという問題で、現在、Windows95/98を使っているところって、学校以外にはないでしょう。

「学校以外には」と断言できるには今までの情報からでは弱すぎる気がしますが...。
そもそもLMハッシュのネタが出されたからといってWin9xを使っているとも書かれていないですし。

文中から推測するに、「中途半端に情報だけを仕入れて精査していない or 精査できない」と私は見ています。
理由はLMハッシュの問題を理解しているかどうかとパスワードログインの仕組みを理解しているか判断するために common-password とかのPAMまわりの話を最初に持ち出していますが、見事なまでの自助努力へのスルー力を発揮されていますので。(苦笑

funatogawa による投稿:

当然ユーザー情報はWindows２００Xサーバ上のアクティブディレクトリで管理していますので、ネットワークから切り離されたコンピュータ（端末）は移動プロファイル設定でもされていなければ、同じユーザー名/パスワードではログイン不能です。

ダウト。
そもそもAD配下なのであれば、クライアントPCに一度でもログオンしたアカウントは一定期間ADサーバにアクセスできなくてもその時のパスワードでログオン可能です。
移動プロファイルとか関係ないし。

そもそもAD使っているという断定も明確にできるとは思えません。

funatogawa による投稿:

またデータは、クライアント側ではなく、サーバ側に保存されていますので、電車の網棚に置き忘れても安全です。もう少し徹底すると、クラウドコンピューティングシステムになり、OSを含めたプログラムまでサーバ側の保存になるので、クライアント（端末）はタダの箱になります。そこまでやれば満足できますか。

ということで、前述のダウトという指摘で移動プロファイルを前提にしているこの部分も自動的にダウトですね。

こういうのをやる場合にはクライアントをシンクライアント化させてあらゆるネットワーク越しに...という力業もありでしょうけど、コストかかりすぎるでしょうしそこまでして守る情報との兼ね合いかと...。

funatogawa による投稿:

東京花子1さんの扱っているシステムがどういうものかよく分からないのですが、どうしても不安なら、業者の方に相談してみるのも良いと思います。
(snip)
Ubuntuがどうの、Windowsがどうのという問題ではないので、あなたが会社のSEなら大手の方に相談したほうが良いと思います。

ここはまったく同意です。

funatogawa による投稿:

WindowsとLinuxの両方扱っているのは富士通・NEC・NTTといった大手になると思います。

扱っているだけで、実際にまともな構築ができるかというと、(ｹﾞﾌﾝｹﾞﾌﾝ
できたらできたで、とんでもないコストが(ｹﾞﾌﾝｹﾞﾌﾝ

仲間を信用します。皆さんのたくさんの回答が参考になりました。とても素晴らしいフォーラムですね。ありがとうございました。

軽く突っついてみたけど同類なだけかも、、、
ぱっと見黒ですがよ〜く見るとグレー。

二度目は勘弁してください(^^;)
みんな後味の悪い思いをしたんです。
もし、そうなら早めの対処を望みますm(__)m