home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / security / 4024 < prev    next >
Encoding:
Text File  |  1992-07-27  |  1.5 KB  |  37 lines
  1. Newsgroups: alt.security
  2. Path: sparky!uunet!usc!sdd.hp.com!mips!mips!munnari.oz.au!metro!dmssyd.syd.dms.CSIRO.AU!marka
  3. From: marka@syd.dms.CSIRO.AU (Mark Andrews)
  4. Subject: Re: passwd security check
  5. Message-ID: <Bs396M.6wp@syd.dms.CSIRO.AU>
  6. Sender: news@syd.dms.CSIRO.AU
  7. Organization: CSIRO Division of Mathematics and Statistics, Australia
  8. References: <1992Jul25.001141.10256@news.cs.indiana.edu> <1992Jul27.205704.14049@random.ccs.northeastern.edu> <25980.Jul2801.49.4992@virtualnews.nyu.edu>
  9. Date: Tue, 28 Jul 1992 07:37:33 GMT
  10. Lines: 25
  11.  
  12. In article <25980.Jul2801.49.4992@virtualnews.nyu.edu> brnstnd@nyu.edu (Dan Bernstein) writes:
  13. >In article <1992Jul27.205704.14049@random.ccs.northeastern.edu> rogue@ccs.northeastern.edu (Rogue Agent) writes:
  14. >  [ if he chooses the same password as someone else ]
  15. >> No, tell me
  16. >> it's not acceptable - but don't tell me why (in this case).
  17. >
  18. >Bad idea! The system should not perform this check, period.
  19. >
  20. >---Dan
  21.  
  22. No.
  23.     It should do this check then recrypt with a different salt.
  24.     It should keep doing this until it runs out of salts or it
  25.     manages not to get a match.
  26.  
  27.     If it can't find a valid salt it should issue a security alert
  28.     and close all effected accounts, be carful not to close root's
  29.     :-), as this password is comprimised. 4096 people have chosen it
  30.     as there password so it must be guessable.
  31.  
  32.     ( You could apply the above with less clashes. If you get 05
  33.     matches I would think the password chosen would be to guessable
  34.     )
  35.  
  36.     Mark.
  37.