home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / bbs / misc / 394 < prev    next >
Encoding:
Internet Message Format  |  1992-07-28  |  2.4 KB
  1. Path: sparky!uunet!wupost!waikato.ac.nz!comp.vuw.ac.nz!actrix!patrick
  2. Newsgroups: comp.bbs.misc
  3. Subject: Re: Searchlight (Bidirectional Flame)
  4. Message-ID: <1992Jul29.011702.13948@actrix.gen.nz>
  5. From: patrick@actrix.gen.nz (Pat Cain)
  6. Date: Wed, 29 Jul 1992 01:17:02 GMT
  7. References: <1992Jul26.195127.24773@klic.rain.com> <1992Jul28.011055.16431@panix.com> <Bs41qE.1Hy@news.cso.uiuc.edu>
  8. Organization: Actrix Information Exchange
  9. Lines: 38
  10.  
  11. In article <Bs41qE.1Hy@news.cso.uiuc.edu> jvmg9796@uxa.cso.uiuc.edu (Doc) writes:
  12. > >2) it is contrary to the author's philosophy of BBSing.  That is Frank
  13. > >didn't really go for "The Sysop as big brother"
  15. > Yes, and along with that philosophy, SL doesnt even let the sysop see
  16. > the users' passwords.  A sorry "feature" indeed.  That says "well we
  17. > dont trust you and we think that you might share your users' passwords
  18. > with other sysops so you arent allowed to see."  
  19. > So when a user forgets his password and asks you what it is, you look
  20. > like an idiot having to tell him "I dont know, I can only reset it
  21. > for you."
  22.  
  23. Searchlight hashes each user password into a 3 byte string when the user
  24. first signs up.  And when the user next logs in it hashes what
  25. they enter and compares it with the 3 byte string.  So it's not
  26. really possible to tell you the password given this storage method.
  27.  
  28. One disadvantage of this method is that many strings willl
  29. hash to the same 3 byte string .. so if FRED is your password then
  30. Q@@#FG may also work.  The hash method is detailed in the early
  31. shareware versions of SL -- including Pascal source, it's
  32. supposed to irreversable (i.e., you can't get original pwd
  33. from 3 byte number).  I've got a program here whichj a friend wrote
  34. which will take the pwd file and give you lots of strings which hash to
  35. any 3 bytes .. so given a user's 3 bytes in the pwd file it willl
  36. give you some valid passwords -- most of them being nothing like
  37. the original pwd.  But if you combine it with an english dictionary
  38. then you can get back any passwords that were english words.
  39. Actually, it usually gives you several valid english words which
  40. are equivalent to any password!
  41.  
  42. I think it is a good system for hiding passowrds -- it stops
  43. the dishonest sysops who use users passwords to get onto
  44. other systems where users use the same pwd.  But the 3 byte
  45. method isn't very secure, he should change it to something
  46. like Rivest's MD4 or MD5 algorithms.
  47. -- 
  48. Pat Cain, PO Box 2060, Wellington, NZ  ()  em: cain_p@kosmos.wcc.govt.nz
  49.