パスワードはデータベースや暗号化されたファイルではなくLDAPに保存されている方が安全ですか?LDAPでのパスワードの安全性はどの程度ですか?
答えて
LDAPの場合、パスワードはサーバーで確認されます。それはデザインによってずっと安全ではありません。しかし、多くのSSOソリューションLDAPを使用しているので、非常に大きなユーザーベースがあります。
パスワードは、ユーザーとパスワードが格納されている場所との間の最も弱いリンクほど安全です。基本的には、これは、パスワードの保存方法だけでなく、保護する必要があることだけでなく、ユーザーとストレージ間の接続線でもあることを意味します。サーバーと通信が安全な場合、最も弱いリンクがユーザーであることがよくあります。 (時々ユーザーはペットロックの記憶容量を持っているので)
私の同僚はかつてラップトップを紛失していました。彼は自分のシステム上のすべての秘密のものにアクセスすることを心配していました。それが判明したとき、彼は自分のノートパソコンにパスワードを記した小さなメモを付けました。残念なことに、彼はこの世界の唯一の人ではなく、自分のコンピューターの隣にメモを書きます。
LDAPは通信プロトコルです。パスワードの保存方法は、ほとんどディレクトリシステムに依存します。たとえば、Windowsの機能については、NTLM user authentication in Windowsを参照してください。
LAN Managerの互換パスワードは、LAN Managerで使用 あるパスワードと互換性 です。このパスワードは、オリジナルの 製造元(OEM)の文字セットに基づく です。この パスワードは大文字と小文字が区別されず、 は最大14文字です。このパスワードのOWF バージョンは、 もLAN Manager OWFまたはESTD バージョンとして認識されています。このパスワードは、 によってDES暗号化を使用して、 定数をクリアテキストパスワードで暗号化して計算されます。 LAN ManagerのOWFパスワードは16 バイトです。 クリアテキストパスワードの最初の7バイトは、 Manager OWFパスワードの最初の8バイトを で計算するために使用されます。クリアテキストパスワードの2番目のバイトは LAN Manager OWFパスワードの2番目の8バイトをコンピュータに使用します。
Windowsパスワードは、 ユニコード文字セットに基づいています。このパスワード では大文字と小文字が区別され、最大128 文字まで使用できます。 OWFバージョン このパスワードは、 Windows OWFパスワードとも呼ばれます。このパスワードは、RSA MD-4 暗号化アルゴリズムを使用して計算された です。このアルゴリズム は、 の可変長文字列(クリアテキスト のパスワードバイト)の16バイトダイジェストを計算します。
特にスーパーセーフではありませんが、通常、Active Directoryはいくつかの悪い試みの後にロックアウトされて実装されています。一般に、ベンダーによって書かれたコードは自分のものを公開するよりも優れています。
また、パスワードをデータベースに格納する方法と、適用されるポリシーによって異なります。暗号化されていない、または暗号化されていないプレーンパスワードを保存するのはひどい考えです。通常、ディレクトリシステムがそれを処理します。例えば、ADはパスワードの複雑さを必要とし、同じパスワード等の再使用を防止することができる。それを攻撃者がアクセスできるファイルに置くことは悪い考えです。
パスワードをネットワークに公開しない限り、ハッシュされたパスワードをデータベースに保存するのと同じように安全です。 LDAPサーバーの実装によっては、さまざまな種類のハッシュを使用できます。
OpenLDAPは、私のマニュアルページによると、CRYPT、MD5、SMD5、SSHA、SHAを提供しています。要するに、LDAPにはパスワードをハッシュしてSQLデータベースに保存するのと同様のハッシング機能があります。
パスワードは、LDAPディレクトリにハッシュ文字列として格納されます。 OpenLDAPは、例えば、SHA1 {SSHA}
、crypt {CRYPT}
(OS依存)、MD5 {MD5}
、塩漬けMD5 {SMD5}
およびSHA1 {SHA}
をサポートするスキームをサポートしています。私は、Active DirectoryサーバーはLMハッシュやNTハッシュのいくつかの並べ替えを格納すると思います。
これを考えると、LDAPディレクトリにパスワードを格納することは、ファイルまたはSQLデータベースにハッシュされたパスワード(同じハッシュが想定されている)を格納することより多かれ少なかれ安全です。基礎となるデータ構造に直接アクセスできる人は、少なくとも、ファイルシステム上で暗号化されていなければ、ハッシュされたパスワードの値を読み取ることができます。
LDAPやその他の種類のアカウントストレージメカニズムを使用するかどうかは、パスワードの安全性に関する事実に基づいていません。この決定は、認証がどのように実行されるか、そして実行する必要があるその他の要件に基づいて行われます。 LDAPは、別のクライアントを中央認証システム(プロプライエタリソフトウェア、電子メールサーバーなど)に接続する必要がある場合や、KERBEROS認証シナリオまたはSASL認証シナリオに統合する必要がある場合に便利です。
- 1. Amazon AWSアクセスキーの安全性はどの程度ですか?
- 2. モバイルデバイスでのGeoLocation APIの安全性はどの程度ですか?
- 3. これはどの程度安全ですか?
- 4. ASP.NETメンバシップフレームワークはどの程度安全ですか?
- 5. パスワードの小文字変換と組み合わせて、base64エンコーディングはどの程度安全ですか?
- 6. LDAP識別名はどの程度まで持続可能ですか?
- 7. JavaScriptはどれくらい安全です、どの程度簡単に悪用できますか?
- 8. ブラウザにJWTトークンをどの程度安全に保管していますか?
- 9. Xamarinアプリケーション内でデータベースの接続文字列値を使用するとどの程度安全ですか?
- 10. javax.crypto.Cipherの安全性はどのくらいですか?
- 11. Node.JS、私のパスワードはRAMで安全ですか?
- 12. 角度のルートガードはどれくらい安全ですか?
- 13. $ _SERVER ["HTTP_HOST"]の安全性はどうですか?
- 14. メモリの安全性の脆弱性とは何ですか?
- 15. パスワードなしでLocal Hadoopのインストールはどれくらい安全ですか?
- 16. このように方程式を処理するのは安全ですか?
- 17. Googleモデレーターはどの程度拡張性がありますか?
- 18. このVBAパスワード保護スクリプトはどれくらい安全ですか?
- 19. Summernoteの安全性
- 20. bashで安全にパスワードを渡す
- 21. クラスター環境でのcreateuuidの安全性はどれくらいですか?
- 22. Firebases Realtime Databaseはクライアントにオフラインデータをどの程度安全に保存していますか?
- 23. ブーストメッセージキューのスレッドは安全でプロセスは安全ですか?
- 24. オープンで安全なTCPチャネルはどのくらい安全ですか?
- 25. 機密情報の暗号化ハッシュをどの程度安全に保管していますか?
- 26. Android Studioでの変数の安全性
- 27. .htaccessでのmod_rewriteの安全性
- 28. UnityでのScriptableObjectsの安全性
- 29. ランタイムでのジェネリックとタイプの安全性
- 30. clojureでのデータフォーマットの安全性