home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / security / 3993 < prev    next >
Encoding:
Internet Message Format  |  1992-07-23  |  1.4 KB
  1. Path: sparky!uunet!utcsri!dgp.toronto.edu!flaps
  2. Newsgroups: alt.security
  3. From: flaps@dgp.toronto.edu (Alan J Rosenthal)
  4. Subject: Re: passwd security check
  5. Message-ID: <1992Jul23.113410.25479@jarvis.csri.toronto.edu>
  6. References: <1992Jul22.190827.30077@iitmax.iit.edu>
  7. Date: 23 Jul 92 15:34:10 GMT
  8. Lines: 22
  9.  
  10. technews@iitmax.iit.edu (Kevin Kadow) writes:
  11. >Can somebody point me to a program that will do a security "audit" on the passwd
  12. >file, e.g. reporting (either in a file or as e-mail to the concerned parties)
  13. >when 2 or more accounts have the same password, and other "holes" that would
  14. >not be found by crack?
  15.  
  16. apart from the big security problem others have pointed out, you can't do this
  17. without cracking the two individual passwords anyway, unless they were
  18. encrypted with the same salt (if the randomization is good, just one chance
  19. in 4096).
  20.  
  21. >R.E. crack- is there a good reason not to simply build a file consisting of the
  22. >crypted and uncrypted entries for an entire dictionary?
  23.  
  24. yeah, because it would be 4097 times as big as an entire dictionary rather than
  25. just 2 times, due to the salt.  but you can do this using an exabyte drive.
  26.  
  27. >what is the meaning of accounts in passwd that have simply * as their password?
  28.  
  29. they're blocked from login, but programs like "ls" can still recognize them, so
  30. you can see that the file is/was owned by fred even though his account has been
  31. disabled, rather than it saying "user 356" which you forget who it is.
  32.