Re: [RFR] man://shadow/pwauth.8

[Patrice KARATCHENTZEFF <patrice.karatchentzeff-alplog@st.com>]

Yves Rutschle wrote:
> On Tue, Aug 24, 2004 at 11:49:48PM +0200, Nicolas François wrote:
>
> > Est-il possible d'avoir un mot de passe chiffré dans /etc/passwd ?
>
>  
> Ce qu'on apprend quand on est forcé de lire le manuel ;)
>
> Oui. Historiquement, les mots de passe (chiffrés par
> crypt()) étaient stockés dans /etc/passwd, et /etc/shadow
> n'existait pas. Unix évolua de telle sorte que de nombreux
> programmes utilisaient le fait qu'ils avaient le droit
> d'accéder en lecture à /etc/passwd.
>
> Un jour, les ordinateurs commencèrent à être suffisament
> puissant pour pouvoir, en ne disposant que du cryptogramme
> de /etc/passwd (que l'on peut donc lire directement),
> trouver le mot de passe qui y correspond (ou
> alternativement, qq y a pensé). Il était alors trop tard
> pour simplement faire un chmod 600 /etc/passwd.

[...]

> Y. - C'est bon, j'ai été bref?

Presque ;-)

UN détail mais ce n'est pas la puissance des ordinateurs qui comptent 
sur ce coup-là. crypt() n'est pas réversible donc à partir du mot de 
passe chiffré, on ne peut pas revenir en arrière.

Il suffit donc de calculer à l'avance un certain nombre de mots de passe 
bidons et d'en faire une base de données équivalente chiffrée. En 
parcourant /etc/passwd et en comparant la base de donnée fabriquée, il 
est alors facile de détecter les mots de passe déjà calculés...

Il existe d'autres astuces mais le problème principal est là...

PK

--
Patrice KARATCHENTZEFF
STMicroelectronics           Tel:  04-76-92-67-96
850, rue Jean Monnet
38926 CROLLES Cedex,  Courriel: patrice.karatchentzeff-alplog@st.com