[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenLDAP - Password Crypt





	Atenção para a pergunta valendo 300 mil reais. :-)
  

       Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o admin da base LDAP tendo acesso aos atributos de senha.

       Eu nunca tinha tentado descriptografar uma senha MD5, mas, para minha surpresa, eu consegui... :-(

	A resposta é "depende". Algumas documentações recomendam
SSHA, em outros locais depende da biblioteca e da versão do LDAP,
há algumas nuances e isso não costuma ser um "padrão" amplamente
adotado/divulgado. Você vai ver que no passado (e em algumas RFCs)
o campo armazenava senhas em texto simples.

http://www.openldap.org/lists/openldap-devel/200203/msg00028.html
  

       Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy (userPassword --> saslauthd --> Kerberos ->- k5key), eu já fiz isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do Samba e que não tem como fazer um proxy igual ao userPassword, mas eu acho que já ajuda UM pouquinho.

       Eu vou precisar fazer alguns testes de performace sobre esse transporte, e sniffer para ver como é feito todo esse transporte de senha.

	Vejo seu cenário, compare os algoritmos e escolha. Se
você pensar somente no algoritmo, SHA *ainda* não apresentou
conflitos, ao contrário do MD5, mas é preciso verificar a
implementação do OpenLDAP destes algoritmos e, em especial,
verificar se outras ferramentas que manipular a base LDAP
suportam todos os tipos de HASH.
  

       Nesse caso, estou pensando *somente* no algoritmo. Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades.

Abraço,
  
Abraços!


Reply to: