> Unsalted MD5, nel 2012 ... really ?
Not really, è un valore derivato dal fatto che mi immaginavo ci potessero
essere questi problemi se fossero stati usati algoritmi di hashing diversi.
Nelle mie prove ho usato inizialmente sia SSHA che SMD5 ma poi mi sono voluto
fare male anche con le loro versioni insipide. Comunque nche se usi SSHA il
fenomeno permane.
Michele Codutti
Area Servizi Informatici e Telematici (AINF)
Universita' degli Studi di Udine
via Delle Scienze, 208 - 33100 UDINE
tel: +39 0432 558928
fax: +39 0432 558911
e-mail: michele.codutti at uniud.it
Il giorno 20/giu/2012, alle ore 13:26, simo ha scritto:
> Unsalted MD5, nel 2012 ... really ?
>
> On Wed, 2012-06-20 at 12:41 +0200, Michele Codutti wrote:
>> Ciao a tutti, si uso ldapmodify perché il cambio password non sarà fatto con
>> ldappasswd ma con ldapmodyfy tramite un'applicazione su cui non ho il
>> controllo. Spero che questo spieghi meglio la problematica.
>> Quindi ricapitolando se io faccio:
>> $ ldapmodify [con tutti i parametri del caso]
>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>> changetype: modify
>> replace: userPassword
>> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
>>
>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>
>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>> changetype: modify
>> replace: userPassword
>> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
>>
>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>
>>
>> Mi aspettavo che la seconda modifica fosse impedita dal fatto che in
>> userPasswd è già presente la stessa stringa.
>> NB: mi autentico con l'utente stesso a cui voglio cambiare la password non
>> con il rootDN.
>>
>> Michele Codutti
>> Area Servizi Informatici e Telematici (AINF)
>> Universita' degli Studi di Udine
>> via Delle Scienze, 208 - 33100 UDINE
>> tel: +39 0432 558928
>> fax: +39 0432 558911
>> e-mail: michele.codutti at uniud.it
>>
>> Il giorno 20/giu/2012, alle ore 09:45, Marco Pizzoli ha scritto:
>>
>>> Ciao Michele,
>>> nel leggere la tua mail mi viene il dubbio che tu cambi la password
>>> semplicemente con un ldapmodify, anziche' con un ldappasswd. Ho capito bene?
>>>
>>> Marco
>>>
>>> 2012/6/20 Luca Scamoni <luca.scam...@gruppopa.it>
>>> Veramente io mi meraviglio che tu possa pensare di passargli una password
>>> cifrata.
>>> Quando all'operazione di cambio password tu gli passi una stringa (perchè
>>> questo è una password) lui non fa nient'altro che applicare l'hash
>>> predefinito e confrontare il risultato con quelle esistenti nella sua
>>> history.
>>> Quindi se tu gli passi una stringa che rappresenta un hash lui non fa
>>> nient'altro che hasharla di nuovo e confrontare il nuovo hash con quelli
>>> memorizzati (e sarà sicuramente differente)
>>>
>>> Il 20/06/2012 09:27, Michele Codutti ha scritto:
>>>> Si esatto, il problema è che il tentativo non fallisce.
>>>> Visto che le password precedenti sono memorizzate con la stessa tipologia
>>>> di hash (ho provato sia MD5 che SSHA) mi meraviglio che il mio tentativo
>>>> di memorizzare una password che è già presente in userPasswd (nello stessa
>>>> codifica) o in pwdHistory (qui la codifica sia binaria ma che riesco a
>>>> vedere che contiene l'hash nel formato originale) abbia successo.
>>>>
>>>> Michele Codutti
>>>> Area Servizi Informatici e Telematici (AINF)
>>>> Universita' degli Studi di Udine
>>>> via Delle Scienze, 208 - 33100 UDINE
>>>> tel:
>>>> +39 0432 558928
>>>>
>>>> fax:
>>>> +39 0432 558911
>>>>
>>>> e-mail: michele.codutti at
>>>> uniud.it
>>>>
>>>>
>>>> Il giorno 19/giu/2012, alle ore 17:55, Luca Scamoni ha scritto:
>>>>
>>>>
>>>>> Ciao,
>>>>> forse non ho capito...
>>>>> tu cerchi di cambiare password passandogli l'hash di una delle password
>>>>> usate in precedenza?
>>>>>
>>>>> Il 19/06/2012 16:55, Michele Codutti ha scritto:
>>>>>
>>>>>> Ciao a tutti, sto implementando delle politiche relative alle password
>>>>>> per diverse tipologie di password che ho nell'LDAP.
>>>>>> In particolare vorrei che un utente non riutilizzi una password recente.
>>>>>> Ho attivato pertanto l'overlay ppolicy ed ho creato una nuova entry per
>>>>>> ogni politica che voglio impostare (con objectType: pwdPolicy) a cui ho
>>>>>> abilitato PwdInHistory=2.
>>>>>> Fin qui tutto bene, e devo dire che avrei potuto risparmiarvi tutto
>>>>>> questo cappello di informazioni ma era per contestualizzarvi il mio
>>>>>> problema: quando, come utente (non come rootDN), mi cambio la password e
>>>>>> digito la stessa che ho in uso oppure anche una delle 2 precedenti
>>>>>> l'operazione avviene con successo! Credevo fosse un problema relativo
>>>>>> alla mancata attivazione della politica ma poi ho scoperto che se cambio
>>>>>> la password passandogliela in chiaro e non in forma "hashata" allora il
>>>>>> meccanismo si attiva, come mi aspettavo, e non posso re-impostare una
>>>>>> password precedente. Immaginavo potesse esserci un problema del genere
>>>>>> per la natura stessa della funzione di hash ma mi immaginavo che in caso
>>>>>> di utilizzo della medesima funzione di hash ppolicy impedisse di
>>>>>> riutilizzare una password.
>>>>>> E' un problema o è così per qualche motivo?
>>>>>>
>>>>>> Vi ringrazio in anticipo per l'attenzione che mi vorrete dedicare.
>>>>>>
>>>>>> Michele Codutti
>>>>>> Area Servizi Informatici e Telematici (AINF)
>>>>>> Universita' degli Studi di Udine
>>>>>> via Delle Scienze, 208 - 33100 UDINE
>>>>>> tel:
>>>>>> +39 0432 558928
>>>>>>
>>>>>> fax:
>>>>>> +39 0432 558911
>>>>>>
>>>>>> e-mail: michele.codutti at
>>>>>> uniud.it
>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> OpenLDAP mailing list
>>>>>>
>>>>>>
>>>>>> OpenLDAP@mail.sys-net.it
>>>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>> --
>>>>> Luca Scamoni
>>>>>
>>>>> Gruppo Partners Associates
>>>>> Via Timavo, 12 - 20124 Milano
>>>>> Tel.
>>>>> +39 02 67380435 - Fax +39 02 67386214
>>>>>
>>>>> Cell.
>>>>> +39 348 0471710
>>>>> luca.scam...@gruppopa.it
>>>>> www.GruppoPA.it
>>>>>
>>>>>
>>>>> <logoPA.jpg>
>>>>>
>>>>> Questo messaggio contiene informazioni confidenziali appartenenti a
>>>>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La
>>>>> divulgazione o copia, anche parziale e non autorizzata, è proibita.
>>>>> Gruppo Partners Associates non è responsabile se questo messaggio viene
>>>>> modificato o falsificato. Se non siete i designati riceventi di questo
>>>>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il
>>>>> mittente dell'errore dell'indirizzo di consegna e della cancellazione del
>>>>> messaggio.
>>>>>
>>>>> This e-mail contains confidential information belonging to Gruppo
>>>>> Partners Associates and it is intended solely for the address. The
>>>>> unauthorised disclosure or copying either whole or partial of this
>>>>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable for
>>>>> this e-mail if modified or falsified. If you are not the intended
>>>>> recipient of this e-mail, please delete it immediately from your system
>>>>> and notify the sender of the wrong delivery and the mail deletion.
>>>>>
>>>>> _______________________________________________
>>>>> OpenLDAP mailing list
>>>>>
>>>>> OpenLDAP@mail.sys-net.it
>>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>
>>>
>>> --
>>> Luca Scamoni
>>>
>>> Gruppo Partners Associates
>>> Via Timavo, 12 - 20124 Milano
>>> Tel. +39 02 67380435 - Fax +39 02 67386214
>>> Cell. +39 348 0471710
>>> luca.scam...@gruppopa.it
>>> www.GruppoPA.it
>>>
>>> <logoPA.jpg>
>>>
>>> Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo
>>> Partners Associates ed è destinato unicamente ai destinatari. La
>>> divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo
>>> Partners Associates non è responsabile se questo messaggio viene modificato
>>> o falsificato. Se non siete i designati riceventi di questo messaggio,
>>> cancellatelo immediatamente dal vostro sistema e avvisate il mittente
>>> dell'errore dell'indirizzo di consegna e della cancellazione del messaggio.
>>>
>>> This e-mail contains confidential information belonging to Gruppo Partners
>>> Associates and it is intended solely for the address. The unauthorised
>>> disclosure or copying either whole or partial of this e-mail, is
>>> prohibited. Gruppo Partners Associates shall not be liable for this e-mail
>>> if modified or falsified. If you are not the intended recipient of this
>>> e-mail, please delete it immediately from your system and notify the sender
>>> of the wrong delivery and the mail deletion.
>>>
>>>
>>> _______________________________________________
>>> OpenLDAP mailing list
>>> OpenLDAP@mail.sys-net.it
>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>
>>>
>>> _______________________________________________
>>> OpenLDAP mailing list
>>> OpenLDAP@mail.sys-net.it
>>> https://www.sys-net.it/mailman/listinfo/openldap
>>
>>
>> _______________________________________________
>> OpenLDAP mailing list
>> OpenLDAP@mail.sys-net.it
>> https://www.sys-net.it/mailman/listinfo/openldap
>
>
>
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
