Re: OpenLDAP - Password Crypt
* Felipe Augusto van de Wiel (faw):*
Então realmente seguro pode ser uma meta, *mas realmente*
* seguro é desligar o computador. :-)*
seguinte, um computador naum eh seguro nem desligado. 2 motivos:
primeiro: ele pode ser roubado;
segundo: Ja conversou com um ENGENHEIRO SOCIAL, se ele realmente for bom ele
ainda faz tu ligar o computador.
2008/6/12 Felipe Augusto van de Wiel (faw) [EMAIL PROTECTED]:
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On 11-06-2008 13:01, Eduardo - Suporte Intranetworks wrote:
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
admin da base LDAP tendo acesso aos atributos de senha.
Isso depende muito da sua definição de seguro. :-)
Bom, caso for uma senha fraca, por sorte eu posso decifrar com
uma comparação por dicionário.
Neste caso, a fraqueza está na senha, não no hash.
Eu sei que pode ser um pouco de viajem da minha parte, mas eu
estou tentando achar algo realmente seguro para armazenar as senhas,
estou dando uma estudada nessa parte de criptografia.
Segurança não é um produto, é um processo. Costuma-se
dizer que algo é seguro quando o custo para obter a informação
através de métodos ilegítimos é maior que o valor da informação,
mas essa é *uma* das percepções do conceito de segurança.
Garanto que o hash de suas senhas não é o elo mais fraco
no processo de segurança dos seus sistemas e/ou infra-estrutura
de rede. Então realmente seguro pode ser uma meta, mas realmente
seguro é desligar o computador. :-)
Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
minha surpresa, eu consegui... :-(
Essa eu *realmente* gostaria de saber como foi feito.
MD5 é hash, isso quer dizer que ele foi desenhado pra não
ter retorno, ou seja, é *muito* difícil obter a palavra por trás
do hash, a menos que você esteja usando comparação por dicionário
ou brute-force, o que é ligeiramente diferente já que você não
obter a senha a partir do MD5 e sim através de comparações.
Eu viajei legal nisso!! Eu estava usando uma comparação por
dicionário para descobrir a senha, eu tinha feito alguns testes com
senhas fracas, e depois que você falou isso, eu testei com uma senha
**mais** complexa e realmente vi que estava usando um dicionário!
Desculpe a minha ignoracia :-(
:-)
Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
(userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso
funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do
Samba e que não tem como fazer um proxy igual ao userPassword, mas eu
acho que já ajuda UM pouquinho.
Tem sim, tem um overlay no LDAP pra sincronizar a senha
do kerberos e samba.
Na verdade, o Andrew Bartlett fez um patch para o Heimdal
Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword)
quando o usuário tiver o objectClass do Samba, assim sendo, não preciso
do overlay. :-)
As senhas do sambaNTPassword e sambaLMPassword usam hashes
fracos (MD4), essa é uma forma de resolver, o Samba4 vai ter outra
abordagem, e o overlay é ainda outra forma.
Esse overlay só vai **sincronizar** as senhas, ele não vai dizer
que o atributo sambaNTPassword e sambaLMPassword deve utilizar o
atributo k5key para a autenticação, diferente do mecanismo de transporte
do userPassword para o saslauthd (userPassword - saslauthd).
Evitar o uso do saslauthd, sob certas circunstâncias pode
ser visto como uma vantagem e não como uma desvantagem.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
Debian. Freedom to code. Code to freedom!
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFIUKVRCjAO0JDlykYRAsZFAKCysfx1WmxwveY/F8KHjvtwViBC6gCeLsqC
oM8B+23/CSFbdDYxXX8u7Uo=
=rz0D
-END PGP SIGNATURE-
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Esse overlay só vai **sincronizar** as senhas, ele não vai dizer que o atributo sambaNTPassword e sambaLMPassword deve utilizar o atributo k5key para a autenticação, diferente do mecanismo de transporte do userPassword para o saslauthd (userPassword - saslauthd). Evitar o uso do saslauthd, sob certas circunstâncias pode ser visto como uma vantagem e não como uma desvantagem. Sim, mas esse método me ajudou MUITO em certos ambientes que eu precisei fazer esse transporte, não teve outra maneira a não ser as gambiarras :( Abraço, - -- Eduardo Sachs (51) 9262-3803 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIUXbuKB6+7l7CbHURAjsXAKCDztvvevAGPzKjhP7j08mV3wLMagCgqM0L TkZ7QlGro9C7HHqgKtAM8Hc= =sw+H -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 12-06-2008 08:43, Anderson Lima wrote: */ Felipe Augusto van de Wiel (faw):/* Então realmente seguro pode ser uma meta, *mas realmente* * seguro é desligar o computador. :-)* seguinte, um computador naum eh seguro nem desligado. 2 motivos: Eu sabia que alguém ia morder a isca. Essa é a velha história de trancar o cofre e jogar a chave no Tietê, alguém pode entrar no rio com uma roupa a prova de catástrofes nucleares e recuperar a chave (ou simplesmente contratar um chaveiro). Pra cada camada de segurança que você adicionar, um novo ponto de falha pode ser encontrado, para roubar algo é preciso ter acesso físico ao Data Center e aí entramos no ciclo do Cachorro que corre atrás do rabo. Como eu disse, segurança é um processo, não um produto; e como outros já disseram: There is no Silver Bullet. primeiro: ele pode ser roubado; Você pode usar criptografia de disco de três estágios com senhas de 64 caracteres pra cada estágio e combinação cíclica, a questão não era desligar ou não o computador, era uma brincadeira. segundo: Ja conversou com um ENGENHEIRO SOCIAL, se ele realmente for bom ele ainda faz tu ligar o computador. Aí ao invés de Engenheiro Social ele seria o Dom Corleone fazendo uma oferta que o sysadmin não poderia recusar. :-) Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIUdukCjAO0JDlykYRAiV2AJ0bSklWoigACS6LkBaRNgZ2WI3mHACgo8ut O33Td7d+2Gs4Gxo7D2+eOx0= =zYou -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
admin da base LDAP tendo acesso aos atributos de senha.
Isso depende muito da sua definição de "seguro". :-)
Bom, caso for uma senha fraca, por sorte eu posso decifrar com
uma comparação por dicionário.
Eu sei que pode ser um pouco de viajem da minha parte, mas eu
estou tentando achar algo realmente seguro para armazenar as senhas,
estou dando uma estudada nessa parte de criptografia.
Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
minha surpresa, eu consegui... :-(
Essa eu *realmente* gostaria de saber como foi feito.
MD5 é hash, isso quer dizer que ele foi desenhado pra não
ter retorno, ou seja, é *muito* difícil obter a palavra por trás
do hash, a menos que você esteja usando comparação por dicionário
ou brute-force, o que é ligeiramente diferente já que você não
obter a senha a partir do MD5 e sim através de comparações.
Eu viajei legal nisso!! Eu estava usando uma comparação por
dicionário para
descobrir a
senha, eu tinha feito alguns testes com senhas fracas, e depois que
você falou isso, eu testei com uma senha *mais* complexa e
realmente vi
que estava usando um dicionário! Desculpe a minha ignoracia :-(
Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
(userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso
funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do
Samba e que não tem como fazer um proxy igual ao userPassword, mas eu
acho que já ajuda UM pouquinho.
Tem sim, tem um overlay no LDAP pra sincronizar a senha
do kerberos e samba.
Na verdade, o Andrew Bartlett fez um patch para o Heimdal
Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword)
quando o usuário tiver o objectClass do Samba, assim sendo, não preciso
do overlay. :-)
Esse overlay só vai *sincronizar* as senhas, ele não vai
dizer que o atributo sambaNTPassword e sambaLMPassword deve utilizar o
atributo k5key para a autenticação, diferente do mecanismo de
transporte do userPassword para o saslauthd (userPassword -
saslauthd).
Eu vou precisar fazer alguns testes de performace sobre esse
transporte, e sniffer para ver como é feito todo esse transporte de
senha.
Transporte é independente do hash usado. Você pode estar
usando o hash ROT13, o ideal é ter criptografia no transporte,
um item não afeta o outro, mas juntos eles aumentam a visão geral
de segurança.
Verdade, eu não tinha me dado conta.
Nesse caso, estou pensando **somente** no algoritmo.
Então a pergunta está mal colocada, os algoritmos de
hash são matemáticos, o MD5 é bem superior ao MD4, há
diferentes aspectos quando se lida com criptografia, pois os
algoritmos tem diferentes propósitos, itens como mecanismo
de transporte e tamanho de chave influenciam de forma direta
nos algoritmos e técnicas usadas para criptografar e/ou fazer
hash dos dados.
Hummm... entendido!
Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades.
Foi provado que é possível obter dois hashes MD5
iguais a partir de duas fontes diferentes, mas elas são
conjuntos específicos de dados e ainda não tem uso prático.
Por isso, muita gente foi pro SHA1, ainda assim, o espaço
é limitado e, portanto, é *teoricamente* possível encontrar
dois conjuntos diferentes que gerem o mesmo hash (ainda que
isso seja mais difícil), não é a toa que já há implementações
de SHA256 e SHA512, pra tornar as interseções ainda mais
difíceis de serem encontradas.
Muito interresante :-)
Abraço,
Abraços!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On 11-06-2008 13:01, Eduardo - Suporte Intranetworks wrote:
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
admin da base LDAP tendo acesso aos atributos de senha.
Isso depende muito da sua definição de seguro. :-)
Bom, caso for uma senha fraca, por sorte eu posso decifrar com
uma comparação por dicionário.
Neste caso, a fraqueza está na senha, não no hash.
Eu sei que pode ser um pouco de viajem da minha parte, mas eu
estou tentando achar algo realmente seguro para armazenar as senhas,
estou dando uma estudada nessa parte de criptografia.
Segurança não é um produto, é um processo. Costuma-se
dizer que algo é seguro quando o custo para obter a informação
através de métodos ilegítimos é maior que o valor da informação,
mas essa é *uma* das percepções do conceito de segurança.
Garanto que o hash de suas senhas não é o elo mais fraco
no processo de segurança dos seus sistemas e/ou infra-estrutura
de rede. Então realmente seguro pode ser uma meta, mas realmente
seguro é desligar o computador. :-)
Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
minha surpresa, eu consegui... :-(
Essa eu *realmente* gostaria de saber como foi feito.
MD5 é hash, isso quer dizer que ele foi desenhado pra não
ter retorno, ou seja, é *muito* difícil obter a palavra por trás
do hash, a menos que você esteja usando comparação por dicionário
ou brute-force, o que é ligeiramente diferente já que você não
obter a senha a partir do MD5 e sim através de comparações.
Eu viajei legal nisso!! Eu estava usando uma comparação por
dicionário para descobrir a senha, eu tinha feito alguns testes com
senhas fracas, e depois que você falou isso, eu testei com uma senha
**mais** complexa e realmente vi que estava usando um dicionário!
Desculpe a minha ignoracia :-(
:-)
Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
(userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso
funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do
Samba e que não tem como fazer um proxy igual ao userPassword, mas eu
acho que já ajuda UM pouquinho.
Tem sim, tem um overlay no LDAP pra sincronizar a senha
do kerberos e samba.
Na verdade, o Andrew Bartlett fez um patch para o Heimdal
Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword)
quando o usuário tiver o objectClass do Samba, assim sendo, não preciso
do overlay. :-)
As senhas do sambaNTPassword e sambaLMPassword usam hashes
fracos (MD4), essa é uma forma de resolver, o Samba4 vai ter outra
abordagem, e o overlay é ainda outra forma.
Esse overlay só vai **sincronizar** as senhas, ele não vai dizer
que o atributo sambaNTPassword e sambaLMPassword deve utilizar o
atributo k5key para a autenticação, diferente do mecanismo de transporte
do userPassword para o saslauthd (userPassword - saslauthd).
Evitar o uso do saslauthd, sob certas circunstâncias pode
ser visto como uma vantagem e não como uma desvantagem.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
Debian. Freedom to code. Code to freedom!
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFIUKVRCjAO0JDlykYRAsZFAKCysfx1WmxwveY/F8KHjvtwViBC6gCeLsqC
oM8B+23/CSFbdDYxXX8u7Uo=
=rz0D
-END PGP SIGNATURE-
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
Atenção para a pergunta valendo 300 mil reais. :-)
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
admin da base LDAP tendo acesso aos atributos de senha.
Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
minha surpresa, eu consegui... :-(
A resposta é "depende". Algumas documentações recomendam
SSHA, em outros locais depende da biblioteca e da versão do LDAP,
há algumas nuances e isso não costuma ser um "padrão" amplamente
adotado/divulgado. Você vai ver que no passado (e em algumas RFCs)
o campo armazenava senhas em texto simples.
http://www.openldap.org/lists/openldap-devel/200203/msg00028.html
Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
(userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz
isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha
do Samba e que não tem como fazer um proxy igual ao userPassword, mas
eu acho que já ajuda UM pouquinho.
Eu vou precisar fazer alguns testes de performace sobre esse
transporte, e sniffer para ver como é feito todo esse transporte de
senha.
Vejo seu cenário, compare os algoritmos e escolha. Se
você pensar somente no algoritmo, SHA *ainda* não apresentou
conflitos, ao contrário do MD5, mas é preciso verificar a
implementação do OpenLDAP destes algoritmos e, em especial,
verificar se outras ferramentas que manipular a base LDAP
suportam todos os tipos de HASH.
Nesse caso, estou pensando *somente* no algoritmo. Eu
vou fazer alguns testes com o {SHA} e verificar as compatibilidades.
Abraço,
Abraços!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On 10-06-2008 13:38, Eduardo - Suporte Intranetworks wrote:
Atenção para a pergunta valendo 300 mil reais. :-)
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o
admin da base LDAP tendo acesso aos atributos de senha.
Isso depende muito da sua definição de seguro. :-)
Eu nunca tinha tentado descriptografar uma senha MD5, mas, para
minha surpresa, eu consegui... :-(
Essa eu *realmente* gostaria de saber como foi feito.
MD5 é hash, isso quer dizer que ele foi desenhado pra não
ter retorno, ou seja, é *muito* difícil obter a palavra por trás
do hash, a menos que você esteja usando comparação por dicionário
ou brute-force, o que é ligeiramente diferente já que você não
obter a senha a partir do MD5 e sim através de comparações.
A resposta é depende. Algumas documentações recomendam
SSHA, em outros locais depende da biblioteca e da versão do LDAP,
há algumas nuances e isso não costuma ser um padrão amplamente
adotado/divulgado. Você vai ver que no passado (e em algumas RFCs)
o campo armazenava senhas em texto simples.
http://www.openldap.org/lists/openldap-devel/200203/msg00028.html
Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do
Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy
(userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso
funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do
Samba e que não tem como fazer um proxy igual ao userPassword, mas eu
acho que já ajuda UM pouquinho.
Tem sim, tem um overlay no LDAP pra sincronizar a senha
do kerberos e samba.
Eu vou precisar fazer alguns testes de performace sobre esse
transporte, e sniffer para ver como é feito todo esse transporte de
senha.
Transporte é independente do hash usado. Você pode estar
usando o hash ROT13, o ideal é ter criptografia no transporte,
um item não afeta o outro, mas juntos eles aumentam a visão geral
de segurança.
Vejo seu cenário, compare os algoritmos e escolha. Se
você pensar somente no algoritmo, SHA *ainda* não apresentou
conflitos, ao contrário do MD5, mas é preciso verificar a
implementação do OpenLDAP destes algoritmos e, em especial,
verificar se outras ferramentas que manipular a base LDAP
suportam todos os tipos de HASH.
Nesse caso, estou pensando **somente** no algoritmo.
Então a pergunta está mal colocada, os algoritmos de
hash são matemáticos, o MD5 é bem superior ao MD4, há
diferentes aspectos quando se lida com criptografia, pois os
algoritmos tem diferentes propósitos, itens como mecanismo
de transporte e tamanho de chave influenciam de forma direta
nos algoritmos e técnicas usadas para criptografar e/ou fazer
hash dos dados.
Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades.
Foi provado que é possível obter dois hashes MD5
iguais a partir de duas fontes diferentes, mas elas são
conjuntos específicos de dados e ainda não tem uso prático.
Por isso, muita gente foi pro SHA1, ainda assim, o espaço
é limitado e, portanto, é *teoricamente* possível encontrar
dois conjuntos diferentes que gerem o mesmo hash (ainda que
isso seja mais difícil), não é a toa que já há implementações
de SHA256 e SHA512, pra tornar as interseções ainda mais
difíceis de serem encontradas.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
Debian. Freedom to code. Code to freedom!
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFITyA4CjAO0JDlykYRAvd2AKCp5Fnxlx5t1vG1ZXt9TmuTyOe1DQCffgWF
wjmO1WiBuideN4Du7HmWOlA=
=3314
-END PGP SIGNATURE-
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
OpenLDAP - Password Crypt
Senhores,
Qual é o hash mais indicado para o userPassword? {SHA}, {SSHA},
{MD5}, {SMD5} ou {CRYPT}? Motivos?
Valeu!
--
Eduardo Sachs - Suporte Intranetworks
[EMAIL PROTECTED]
Intranetworks
Rua Marquês do Pombal 1710/805
Porto Alegre - RS - 90540-000
+55 51 3325-5700
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On 09-06-2008 14:36, Eduardo - Suporte Intranetworks wrote:
Senhores,
Qual é o hash mais indicado para o userPassword? {SHA}, {SSHA},
{MD5}, {SMD5} ou {CRYPT}? Motivos?
Atenção para a pergunta valendo 300 mil reais. :-)
A resposta é depende. Algumas documentações recomendam
SSHA, em outros locais depende da biblioteca e da versão do LDAP,
há algumas nuances e isso não costuma ser um padrão amplamente
adotado/divulgado. Você vai ver que no passado (e em algumas RFCs)
o campo armazenava senhas em texto simples.
http://www.openldap.org/lists/openldap-devel/200203/msg00028.html
Vejo seu cenário, compare os algoritmos e escolha. Se
você pensar somente no algoritmo, SHA *ainda* não apresentou
conflitos, ao contrário do MD5, mas é preciso verificar a
implementação do OpenLDAP destes algoritmos e, em especial,
verificar se outras ferramentas que manipular a base LDAP
suportam todos os tipos de HASH.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
Debian. Freedom to code. Code to freedom!
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFITdQ9CjAO0JDlykYRAk2aAKCkZTA+rPe9P9HOBXqunO6Pf1rCBACeN8kn
x7IYmHD3Gc2S2/YvM19XFX0=
=NG2M
-END PGP SIGNATURE-
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
