[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenLDAP - Password Crypt



Felipe Augusto van de Wiel (faw):
Então "realmente seguro" pode ser uma meta, mas realmente
seguro é desligar o computador. :-)

seguinte, um computador naum eh seguro nem desligado. 2 motivos:
primeiro: ele pode ser roubado;
segundo: Ja conversou com um ENGENHEIRO SOCIAL, se ele realmente for bom ele ainda faz tu ligar o computador.



2008/6/12 Felipe Augusto van de Wiel (faw) <faw@funlabs.org>:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 11-06-2008 13:01, Eduardo - Suporte Intranetworks wrote:
>>>        Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
>>> admin da base LDAP tendo acesso aos atributos de senha.
>>
>>      Isso depende muito da sua definição de "seguro". :-)
>
>        Bom, caso for uma senha fraca, por sorte eu posso decifrar com
> uma comparação por dicionário.

       Neste caso, a fraqueza está na senha, não no hash.


>        Eu sei que pode ser um pouco de viajem da minha parte, mas eu
> estou tentando achar algo realmente seguro para armazenar as senhas,
> estou dando uma estudada nessa parte de criptografia.

       Segurança não é um produto, é um processo. Costuma-se
dizer que algo é seguro quando o custo para obter a informação
através de métodos ilegítimos é maior que o valor da informação,
mas essa é *uma* das percepções do conceito de segurança.

       Garanto que o hash de suas senhas não é o elo mais fraco
no processo de segurança dos seus sistemas e/ou infra-estrutura
de rede. Então "realmente seguro" pode ser uma meta, mas realmente
seguro é desligar o computador. :-)


>>>        Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
>>> minha surpresa, eu consegui... :-(
>>
>>      Essa eu *realmente* gostaria de saber como foi feito.
>>
>>      MD5 é hash, isso quer dizer que ele foi desenhado pra não
>> ter retorno, ou seja, é *muito* difícil obter a palavra por trás
>> do hash, a menos que você esteja usando comparação por dicionário
>> ou brute-force, o que é ligeiramente diferente já que você não
>> obter a senha a partir do MD5 e sim através de comparações.
>
>         Eu viajei legal nisso!! Eu estava usando uma comparação por
> dicionário para descobrir a senha, eu tinha feito alguns testes com
> senhas fracas, e depois que você falou isso, eu testei com uma senha
> **mais** complexa e realmente vi que estava usando um dicionário!
> Desculpe a minha ignoracia :-(

       :-)


>>>        Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
>>> Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
>>> (userPassword --> saslauthd --> Kerberos ->- k5key), eu já fiz isso
>>> funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do
>>> Samba e que não tem como fazer um proxy igual ao userPassword, mas eu
>>> acho que já ajuda UM pouquinho.
>>>
>>
>>      Tem sim, tem um overlay no LDAP pra sincronizar a senha
>> do kerberos e samba.
>
>        Na verdade, o Andrew Bartlett fez um patch para o Heimdal
> Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword)
> quando o usuário tiver o objectClass do Samba, assim sendo, não preciso
> do overlay. :-)

       As senhas do sambaNTPassword e sambaLMPassword usam hashes
fracos (MD4), essa é uma forma de resolver, o Samba4 vai ter outra
abordagem, e o overlay é ainda outra forma.


>        Esse overlay só vai **sincronizar** as senhas, ele não vai dizer
> que o atributo sambaNTPassword e sambaLMPassword deve utilizar o
> atributo k5key para a autenticação, diferente do mecanismo de transporte
> do userPassword para o saslauthd (userPassword -> saslauthd).

       Evitar o uso do saslauthd, sob certas circunstâncias pode
ser visto como uma vantagem e não como uma desvantagem.



Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFIUKVRCjAO0JDlykYRAsZFAKCysfx1WmxwveY/F8KHjvtwViBC6gCeLsqC
oM8B+23/CSFbdDYxXX8u7Uo=
=rz0D
-----END PGP SIGNATURE-----


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org



Reply to: