"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
[PW crypt]
> O tyle istotny, ze jak taki Mitnick "zlamal czlowieka", i odczytal
> plik z haslami (zaszyfrowanymi),
> to potem moglby odszyfrowac/zlamac te hasla i miec dostep przez
> wszystkich uzytkownikow.
> I ten jeden przestawal byc juz istotny - gdyby np zmienil haslo czy
> skasowali go z serwera.
Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także niedostępny
dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
sprowadzone systemy bez shadow password suite miały wszystko
w /etc/passwd. Ale w takich przypadkach John the Ripper (a wcześniej
inne Jacki itp) potrafił zwykle wyciągnąć 90% haseł, zdecydowanie
szybciej niż łamiąc jakieś DESy. Poza tym, taki typowy atakujący raczej
nie zadowolił się kontem zwykłego usera, a zwykle uzyskanie roota (jeśli
mieliśmy dostęp do shella) to nie był raczej wielki wysiłek. Dodaj do
tego instalację backdoorów i regularną "opiekę" i żadne łamania DESa
nie są przydatne.
> Wiec dzis ... pare sekund dla bogatej agencji ?
Możliwe. Aczkolwiek obawiam się, że dłużej, z tej prostej przyczyny, że
obecnie pies z kulawą nogą nie interesuje się DESem, i mogą po prostu
używać starego sprzętu :-)
> Nawiasem mowiac - dla szyfrow o dluzszym bloku moze nie byc dluzej,
> jesli klucz wprowadzany recznie ... komu sie bedzie chcialo 20 znakowe
> haslo/klucz stosowac.
To jest oczywiste, dlatego też w takich przypadkach kluczy nie generuje
się na podstawie hasła. Hasło, jeśli w ogóle jakiekolwiek jest używane,
służy tylko do wyciągnięcia kluczy.
--
Krzysztof Hałasa
|