home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / security / 4044 < prev    next >
Encoding:
Internet Message Format  |  1992-07-30  |  2.0 KB
  1. Path: sparky!uunet!cis.ohio-state.edu!ucbvax!agate!linus!aquila.sni-usa.com!news.sni.de!offbeat!mboen
  2. From: mboening.pad@sni.de (Martin Boening)
  3. Newsgroups: alt.security
  4. Subject: Re: passwd security check
  5. Message-ID: <mboen.712487508@offbeat>
  6. Date: 30 Jul 92 09:11:48 GMT
  7. References: <1992Jul22.190827.30077@iitmax.iit.edu> <Brt2n3.GE9@solbourne.com> <14kib3INN18l@moe.ksu.ksu.edu> <Brt8GH.Guz@solbourne.com>
  8. Sender: news@nixpbe.sni.de
  9. Organization: Siemens Nixdorf Info.Sys. AG, Paderborn, Germany
  10. Lines: 34
  11.  
  12. In <Brt8GH.Guz@solbourne.com> imp@solbourne.com (Warner Losh) writes:
  13.  
  14. [ stuff deleted ]
  15.  
  16. >same person, then I might agree with you.  However, it is quite
  17. >possible that two people indepently chose batman! (or r0bin!) as their
  18. >password after seeing the same movie.  I'm still not convinced that
  19. >this is a real hole....
  20.  
  21. Even if two people choose the same password, the chances are small that
  22. both will have the same encrypted password in their passwd file. This is
  23. because each encrypted password consists of 2 letters salt and the rest
  24. is the real encryption for the password entered. The salt is calculated
  25. in abstruse ways from process ids of passwd processes, times, and I know
  26. not what random factors. It will be different for most invocations of
  27. passwd, therefore the encrypted version of the password will be
  28. different.
  29.  
  30. Conclusion: if you do find the same encrypted version of a password for
  31. two or more entries in a /etc/passwd file, chances are that the password
  32. was copied in from the first to the second entry. This can happen when a
  33. lazy sys admin simply copies one user entry to another and then changes
  34. the fields that need changing.
  35.  
  36. It should never occur if new accounts are generated using some sysadmsh
  37. like interface.
  38.  
  39. So long,
  40. Martin
  41. --
  42. Email: in the   USA ->  mboening.pad@sni-usa.com
  43.        outside  USA ->  mboening.pad@sni.de
  44. Paper Mail: Martin Boening, Siemens Nixdorf Informationssys. AG, SNI STO SI 325,
  45.         Pontanusstr. 55, 4790 Paderborn, W.-Germany  (Phone: +49 5251 835641)
  46.