home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / security / 4000 < prev    next >
Encoding:
Text File  |  1992-07-23  |  2.5 KB  |  52 lines
  1. Newsgroups: alt.security
  2. Path: sparky!uunet!mcsun!sun4nl!fwi.uva.nl!casper
  3. From: casper@fwi.uva.nl (Casper H.S. Dik)
  4. Subject: Re: passwd security check
  5. Message-ID: <1992Jul24.074114.27345@fwi.uva.nl>
  6. Sender: news@fwi.uva.nl
  7. Nntp-Posting-Host: adam.fwi.uva.nl
  8. Organization: FWI, University of Amsterdam
  9. References: <1992Jul22.190827.30077@iitmax.iit.edu> <1992Jul22.221222.6185@Princeton.EDU> <1992Jul23.092715.1@zodiac.rutgers.edu> <14mgkaINN1uq@moe.ksu.ksu.edu> <12431@inews.intel.com>
  10. Date: Fri, 24 Jul 1992 07:41:14 GMT
  11. Lines: 39
  12.  
  13. adam@gomez.intel.com (Adam Margulies ~) writes:
  14.  
  15. >In article <14mgkaINN1uq@moe.ksu.ksu.edu> rjq@phys.ksu.edu (Rob Quinn) writes:
  16. >>In <1992Jul23.092715.1@zodiac.rutgers.edu> leichter@zodiac.rutgers.edu writes:
  17. >>]One thing it's important to remember is that there are many passwords that
  18. >>]hash to the same value.  Even if you and I have the same salt and the same
  19. >>]hash value, it doesn't mean we chose the same password - though it DOES mean
  20. >>]that either of our passwords will work on either account.
  21. >>
  22. >> Can you provide an example? Or is there some mathematical proof? This question
  23. >>has come up a lot before, and there have been answers on both sides, but no
  24. >>proof either way that I have seen.
  25.  
  26. >DES has a theorectical weakness in that for any key there are exactly 7 other keys that will
  27. >crypt to the same string. I.E. if your password is "batman!" there exist seven other keys which
  28. >are not "batman!" that will allow access to your account. Fortunately they are almost certainly
  29. >extremely strange strings like "@gW #s(u", and not likely to match a human generated password.
  30.  
  31. What's true of DES isn't necessarily true of crypt(3).
  32. Remember that crypt runs (modified) DES 25 times and that your password is
  33. used as the key. After the first encryption the eight keys will have encrypted
  34. to the same value. But the resulting encrypted string is encrypted again, 
  35. resulting in 8 different values. I think that it is pretty much an open
  36. question whether there are password/salt combinations that yield the
  37. same encryption string. For this property to be applicable to crypt(3)
  38. you must have a 0 (..) salt and 2 of the 8 keys must be self-decoding.
  39.  
  40. >Another interesting thing about DES is that there are 8 keys that crypt to a string of
  41. >all spaces and there are even keys that when encrypted reproduce themselves in the
  42. >crypted output. Weird.
  43.  
  44. Crypt what to all spaces? The standard crypt(3) cleartext?
  45.  
  46. And try to keep your lines 80 columns.
  47.  
  48. Casper
  49. -- 
  50.                         |    Casper H.S. Dik
  51.                         |    casper@fwi.uva.nl
  52.