-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 10-06-2008 13:38, Eduardo - Suporte Intranetworks wrote: >> Atenção para a pergunta valendo 300 mil reais. :-) > > Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o > admin da base LDAP tendo acesso aos atributos de senha.
Isso depende muito da sua definição de "seguro". :-) > Eu nunca tinha tentado descriptografar uma senha MD5, mas, para > minha surpresa, eu consegui... :-( Essa eu *realmente* gostaria de saber como foi feito. MD5 é hash, isso quer dizer que ele foi desenhado pra não ter retorno, ou seja, é *muito* difícil obter a palavra por trás do hash, a menos que você esteja usando comparação por dicionário ou brute-force, o que é ligeiramente diferente já que você não obter a senha a partir do MD5 e sim através de comparações. >> A resposta é "depende". Algumas documentações recomendam >> SSHA, em outros locais depende da biblioteca e da versão do LDAP, >> há algumas nuances e isso não costuma ser um "padrão" amplamente >> adotado/divulgado. Você vai ver que no passado (e em algumas RFCs) >> o campo armazenava senhas em texto simples. >> >> http://www.openldap.org/lists/openldap-devel/200203/msg00028.html > > Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do > Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy > (userPassword --> saslauthd --> Kerberos ->- k5key), eu já fiz isso > funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do > Samba e que não tem como fazer um proxy igual ao userPassword, mas eu > acho que já ajuda UM pouquinho. Tem sim, tem um overlay no LDAP pra sincronizar a senha do kerberos e samba. > Eu vou precisar fazer alguns testes de performace sobre esse > transporte, e sniffer para ver como é feito todo esse transporte de > senha. Transporte é independente do hash usado. Você pode estar usando o hash ROT13, o ideal é ter criptografia no transporte, um item não afeta o outro, mas juntos eles aumentam a visão geral de segurança. >> Vejo seu cenário, compare os algoritmos e escolha. Se >> você pensar somente no algoritmo, SHA *ainda* não apresentou >> conflitos, ao contrário do MD5, mas é preciso verificar a >> implementação do OpenLDAP destes algoritmos e, em especial, >> verificar se outras ferramentas que manipular a base LDAP >> suportam todos os tipos de HASH. > > Nesse caso, estou pensando **somente** no algoritmo. Então a pergunta está mal colocada, os algoritmos de hash são matemáticos, o MD5 é bem superior ao MD4, há diferentes aspectos quando se lida com criptografia, pois os algoritmos tem diferentes propósitos, itens como mecanismo de transporte e tamanho de chave influenciam de forma direta nos algoritmos e técnicas usadas para criptografar e/ou fazer hash dos dados. > Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades. Foi provado que é possível obter dois hashes MD5 iguais a partir de duas fontes diferentes, mas elas são conjuntos específicos de dados e ainda não tem uso prático. Por isso, muita gente foi pro SHA1, ainda assim, o espaço é limitado e, portanto, é *teoricamente* possível encontrar dois conjuntos diferentes que gerem o mesmo hash (ainda que isso seja mais difícil), não é a toa que já há implementações de SHA256 e SHA512, pra tornar as interseções ainda mais difíceis de serem encontradas. Abraço, - -- Felipe Augusto van de Wiel (faw) "Debian. Freedom to code. Code to freedom!" -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFITyA4CjAO0JDlykYRAvd2AKCp5Fnxlx5t1vG1ZXt9TmuTyOe1DQCffgWF wjmO1WiBuideN4Du7HmWOlA= =3314 -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]