-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 11-06-2008 13:01, Eduardo - Suporte Intranetworks wrote: >>> Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o >>> admin da base LDAP tendo acesso aos atributos de senha. >> >> Isso depende muito da sua definição de "seguro". :-) > > Bom, caso for uma senha fraca, por sorte eu posso decifrar com > uma comparação por dicionário.
Neste caso, a fraqueza está na senha, não no hash. > Eu sei que pode ser um pouco de viajem da minha parte, mas eu > estou tentando achar algo realmente seguro para armazenar as senhas, > estou dando uma estudada nessa parte de criptografia. Segurança não é um produto, é um processo. Costuma-se dizer que algo é seguro quando o custo para obter a informação através de métodos ilegítimos é maior que o valor da informação, mas essa é *uma* das percepções do conceito de segurança. Garanto que o hash de suas senhas não é o elo mais fraco no processo de segurança dos seus sistemas e/ou infra-estrutura de rede. Então "realmente seguro" pode ser uma meta, mas realmente seguro é desligar o computador. :-) >>> Eu nunca tinha tentado descriptografar uma senha MD5, mas, para >>> minha surpresa, eu consegui... :-( >> >> Essa eu *realmente* gostaria de saber como foi feito. >> >> MD5 é hash, isso quer dizer que ele foi desenhado pra não >> ter retorno, ou seja, é *muito* difícil obter a palavra por trás >> do hash, a menos que você esteja usando comparação por dicionário >> ou brute-force, o que é ligeiramente diferente já que você não >> obter a senha a partir do MD5 e sim através de comparações. > > Eu viajei legal nisso!! Eu estava usando uma comparação por > dicionário para descobrir a senha, eu tinha feito alguns testes com > senhas fracas, e depois que você falou isso, eu testei com uma senha > **mais** complexa e realmente vi que estava usando um dicionário! > Desculpe a minha ignoracia :-( :-) >>> Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do >>> Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy >>> (userPassword --> saslauthd --> Kerberos ->- k5key), eu já fiz isso >>> funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do >>> Samba e que não tem como fazer um proxy igual ao userPassword, mas eu >>> acho que já ajuda UM pouquinho. >>> >> >> Tem sim, tem um overlay no LDAP pra sincronizar a senha >> do kerberos e samba. > > Na verdade, o Andrew Bartlett fez um patch para o Heimdal > Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword) > quando o usuário tiver o objectClass do Samba, assim sendo, não preciso > do overlay. :-) As senhas do sambaNTPassword e sambaLMPassword usam hashes fracos (MD4), essa é uma forma de resolver, o Samba4 vai ter outra abordagem, e o overlay é ainda outra forma. > Esse overlay só vai **sincronizar** as senhas, ele não vai dizer > que o atributo sambaNTPassword e sambaLMPassword deve utilizar o > atributo k5key para a autenticação, diferente do mecanismo de transporte > do userPassword para o saslauthd (userPassword -> saslauthd). Evitar o uso do saslauthd, sob certas circunstâncias pode ser visto como uma vantagem e não como uma desvantagem. Abraço, - -- Felipe Augusto van de Wiel (faw) "Debian. Freedom to code. Code to freedom!" -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIUKVRCjAO0JDlykYRAsZFAKCysfx1WmxwveY/F8KHjvtwViBC6gCeLsqC oM8B+23/CSFbdDYxXX8u7Uo= =rz0D -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]