Re: OpenLDAP - Password Crypt
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 11-06-2008 13:01, Eduardo - Suporte Intranetworks wrote:
>>> Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
>>> admin da base LDAP tendo acesso aos atributos de senha.
>>
>> Isso depende muito da sua definição de "seguro". :-)
>
> Bom, caso for uma senha fraca, por sorte eu posso decifrar com
> uma comparação por dicionário.
Neste caso, a fraqueza está na senha, não no hash.
> Eu sei que pode ser um pouco de viajem da minha parte, mas eu
> estou tentando achar algo realmente seguro para armazenar as senhas,
> estou dando uma estudada nessa parte de criptografia.
Segurança não é um produto, é um processo. Costuma-se
dizer que algo é seguro quando o custo para obter a informação
através de métodos ilegítimos é maior que o valor da informação,
mas essa é *uma* das percepções do conceito de segurança.
Garanto que o hash de suas senhas não é o elo mais fraco
no processo de segurança dos seus sistemas e/ou infra-estrutura
de rede. Então "realmente seguro" pode ser uma meta, mas realmente
seguro é desligar o computador. :-)
>>> Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
>>> minha surpresa, eu consegui... :-(
>>
>> Essa eu *realmente* gostaria de saber como foi feito.
>>
>> MD5 é hash, isso quer dizer que ele foi desenhado pra não
>> ter retorno, ou seja, é *muito* difícil obter a palavra por trás
>> do hash, a menos que você esteja usando comparação por dicionário
>> ou brute-force, o que é ligeiramente diferente já que você não
>> obter a senha a partir do MD5 e sim através de comparações.
>
> Eu viajei legal nisso!! Eu estava usando uma comparação por
> dicionário para descobrir a senha, eu tinha feito alguns testes com
> senhas fracas, e depois que você falou isso, eu testei com uma senha
> **mais** complexa e realmente vi que estava usando um dicionário!
> Desculpe a minha ignoracia :-(
:-)
>>> Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
>>> Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
>>> (userPassword --> saslauthd --> Kerberos ->- k5key), eu já fiz isso
>>> funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do
>>> Samba e que não tem como fazer um proxy igual ao userPassword, mas eu
>>> acho que já ajuda UM pouquinho.
>>>
>>
>> Tem sim, tem um overlay no LDAP pra sincronizar a senha
>> do kerberos e samba.
>
> Na verdade, o Andrew Bartlett fez um patch para o Heimdal
> Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword)
> quando o usuário tiver o objectClass do Samba, assim sendo, não preciso
> do overlay. :-)
As senhas do sambaNTPassword e sambaLMPassword usam hashes
fracos (MD4), essa é uma forma de resolver, o Samba4 vai ter outra
abordagem, e o overlay é ainda outra forma.
> Esse overlay só vai **sincronizar** as senhas, ele não vai dizer
> que o atributo sambaNTPassword e sambaLMPassword deve utilizar o
> atributo k5key para a autenticação, diferente do mecanismo de transporte
> do userPassword para o saslauthd (userPassword -> saslauthd).
Evitar o uso do saslauthd, sob certas circunstâncias pode
ser visto como uma vantagem e não como uma desvantagem.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFIUKVRCjAO0JDlykYRAsZFAKCysfx1WmxwveY/F8KHjvtwViBC6gCeLsqC
oM8B+23/CSFbdDYxXX8u7Uo=
=rz0D
-----END PGP SIGNATURE-----
Reply to: