home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / hackers / 1138 < prev    next >
Encoding:
Internet Message Format  |  1992-07-22  |  1.1 KB
  1. Path: sparky!uunet!utcsri!devnull
  2. Newsgroups: alt.hackers
  3. From: flaps@dgp.toronto.edu (Alan J Rosenthal)
  4. Subject: Re: Forgery
  5. Message-ID: <1992Jul22.150959.29362@jarvis.csri.toronto.edu>
  6. Followup-To: alt.snotrags.mucus.collectors.underage
  7. References: <1992Jul21.033018.15388@ctr.columbia.edu> <1992Jul22.043712.21836@amhux2.amherst.edu> <Brsy56.6po@undergrad.math.waterloo.edu>
  8. Date: 22 Jul 92 19:10:00 GMT
  9. Approved: shit@fuck.uucp
  10. Lines: 13
  11.  
  12. PPan@Fairytale (Peter Pan) writes:
  13. >     A couple of post ago, someone mentioned something about writing a 
  14. >trojan horse login program to collect and store userids and passwords.
  15. >... for this reason I always
  16. >do a fake login before really logging in to make sure everything is 'real'.
  17.  
  18. On a unix system with encrypted passwords available in /etc/passwd, you can
  19. just do the encryption yourself and check whether or not the password is real.
  20. Only if they get the password *correct* do you go on to the real login program.
  21. So you print "Login incorrect" no matter what, but you don't stop until they do
  22. it right.  I think that this is a complete antidote to your solution.
  23.  
  24. The real solution is a secure attention key.
  25.