home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / security / 3998 < prev    next >
Encoding:
Internet Message Format  |  1992-07-23  |  2.3 KB
  1. Path: sparky!uunet!caen!sol.ctr.columbia.edu!usc!news
  2. From: srobiner@pollux.usc.edu (Steven Robiner)
  3. Newsgroups: alt.security
  4. Subject: BRUTE force search (was Re: passwd security check)
  5. Followup-To: world
  6. Date: 23 Jul 1992 23:07:35 -0700
  7. Organization: University of Southern California, Los Angeles, CA
  8. Lines: 53
  9. Sender: srobiner@pollux.usc.edu (Steven Robiner)
  10. Message-ID: <l6v7h7INNjqu@pollux.usc.edu>
  11. References: <1992Jul23.092715.1@zodiac.rutgers.edu> <14mgkaINN1uq@moe.ksu.ksu.edu> <12431@inews.intel.com>
  12. NNTP-Posting-Host: pollux.usc.edu
  13.  
  14. In article <12431@inews.intel.com> adam@gomez.intel.com (Adam Margulies ~) writes:
  15. >In article <14mgkaINN1uq@moe.ksu.ksu.edu> rjq@phys.ksu.edu (Rob Quinn) writes:
  16. >>In <1992Jul23.092715.1@zodiac.rutgers.edu> leichter@zodiac.rutgers.edu writes:
  17. >>]One thing it's important to remember is that there are many passwords that
  18. >>]hash to the same value.  Even if you and I have the same salt and the same
  19. >>]hash value, it doesn't mean we chose the same password - though it DOES mean
  20. >>
  21. >>has come up a lot before, and there have been answers on both sides, but no
  22. >>proof either way that I have seen.
  23. >
  24. >DES has a theorectical weakness in that for any key there are exactly 7 other keys that will
  25. >crypt to the same string. I.E. if your password is "batman!" there exist seven other keys which
  26. >are not "batman!" that will allow access to your account. Fortunately they are almost certainly
  27. >extremely strange strings like "@gW #s(u", and not likely to match a human generated password.
  28. >
  29. >Another interesting thing about DES is that there are 8 keys that crypt to a string of
  30. >all spaces and there are even keys that when encrypted reproduce themselves in the
  31. >crypted output. Weird.
  32.  
  33.  
  34. Talk about encryption - how about those encrypted characters after column 80?
  35.  
  36. Anyway, on to the real subject: If there are 8 keys to every hashed password,
  37. wouldn't a brute force search actually only require 1/8 of the number
  38. of attempts to randomly hack passwords?
  39.  
  40. In light of this fact, doesn't this make the brute force method 
  41. much more feasible.    Oh, and one more thing - I would just like to say that if you can read this you may be able to get a job as a high paying unix programmer and travel to far away lands to meet fabulous people who may be able to realize that not every program has word wrapping.
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49. =steve=
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.  
  64.  
  65.  
  66. rn fodder
  67.