Re: FW: segurança - capturar senhas erradas em tentativas de logins
On Fri, 25 Apr 2003 09:41:18 -0300, Orlando Tempobono wrote:
>> Realmente acredito que você não tenha entendido o conteúdo de minha
>> msg anterior, peço lhe desculpas se não me fiz
>> entender e torno a repetir que o que quero é apenas capturar as strings
>> de senhas digitadas erradas em um login no woody como por exemplo via
>> ssh, é isso.
Olha, isso tem uma série de implicacões.
Por exemplo, o administrador poderia facilmente adivinhar a senha
de um usuário que não conseguiu entrar por ter as maiúsculas fixadas, ou
por ter trocado algum caracter bobo, por exemplo trocar y e z no teclado
alemão ou a e q, w e z no francês.
Eu não confiaria num sistema que me permitisse ver as senhas dos
usuários.
>> Agora com relação as suas respostas, o fato de você ter colocado
>> apenas trechos faz com que a coisa sai do contexto
>> e sinceramente podem ir parar em um off-topic até um flame-wars, e
>> acredito que não seja isto que o pessoal na lista queira ver, em todo
>> caso reexplico meus comentários em replica aos seus que acredito serem
>> fruto de uma má interpretação sua ou má explicação minha.
Não se preocupe tanto... conversando a gente se entende.
Cortar corretamente é uma arte. Jamais se deve deixar cabecalhos
e assinaturas, isso é claro; e geralmente há muito que não é importante
para a resposta. Ainda estou aprendendo essa arte...
>> > On Thu, 24 Apr 2003 09:56:34 -0300, Orlando Tempobono wrote:
>> >
>> > > 1 - Estão tentando usar algum tipo de engenharia social para
>> > > tentar se logar em meu server, chutando senhas do tipo meu
>> > > telefone,
>> > > nomes de familiares etc. (é claro que não uso isso mas desta forma
>> > > saberia se tem alguem no meu pé)
>> >
>> > Isso não é engenharia social... engenharia social é usar as
>> > pessoas para
>> > obter direitos de acesso, senhas etc.
>> Você afirma com certa convicção e certeza que isto não é
>> engenharia social, mas pelo pouco que conheço sei que se
>> pode criar listas de palavras e tentar senhas de acordo com o perfil da
>> pessoa apenas a conhecendo um pouco ou seja para um sujeito Punk você
>> pode colocar na lista palavras do tipo anarquia, skateordie, deadkenedys
>> porque provavelmente ele pode usar uma destas palavras como senha.
Bom, isso é um chute educado, também conhecido como /guesstimate/.
Engenharia social é mesmo se utilizar das pessoas para conseguir
acesso, por exemplo alegando precisar da senha para resolver um problema
técnico.
>> > Em princípio você deveria bloquear a conta depois de algumas
>> > tentativas
>> > incorretas em um determinado espaco de tempo, por exemplo cinco
>> > tentativas em uma hora, ou sete em um dia.
>> Gostei deste comentário mas para torná-lo produtivo alguem na lista
>> sabe qual o caminho para configurar tais parâmetros?
Vou ficar devendo... mas vide as páginas man para comandos como
login, pam, etc.
Lista, vamos lá, ajudando por favor...
>> Voltando ao contexto, se tenho acesso ao conteúdo das senhas em
>> tentaticas de erradas login, ao atender o
>> telefonema de um usuário que está digitando a senha de forma errada
>> como por exemplo em maiúsculas, posso de imediato dizer a ele com base
>> sólida para ele desligar o capslock e tentar novamente. Pode até
>> parecer ridículo mas quem presta suporte sabe que existe usuário
>> "ogro" que erra a senha e liga bravo para o suporte reclamando, e quando
>> tem o problema solucionado pois a falha era dele, ainda por cima é
>> sínico o suficiente para dizer que estava fazendo certo dando a
>> impressão de que o sistema estava com pow e foi arrumado na hora em que
>> você o estava atendendo. Neste caso o recurso que estou procurando
>> seria apenas uma forma de constatar a verdade acima de tudo.
Infelizmente isso é má política de seguranca, vide comentários
iniciais.
--
_ Leandro Guimarães Faria Corsetti Dutra +41 (21) 648 11 34
/ \ Lausanne, Vaud, Suisse +41 (78) 778 11 34
\ / Brasil +55 (11) 5686 2219
/ \ http://geocities.yahoo.com.br/lgcdutra/
Reply to: