home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / security / misc / 834 < prev    next >
Encoding:
Internet Message Format  |  1992-07-21  |  2.2 KB
  1. Xref: sparky comp.security.misc:834 alt.security:4020 comp.unix.ultrix:5916
  2. Newsgroups: comp.security.misc,alt.security,comp.unix.ultrix
  3. Path: sparky!uunet!cs.utexas.edu!qt.cs.utexas.edu!yale.edu!yale!gumby!destroyer!ubc-cs!newsserver.sfu.ca!sfu.ca!vanepp
  4. From: vanepp@fraser.sfu.ca (Peter Van Epp)
  5. Subject: Re: Problem with npasswd??
  6. Message-ID: <vanepp.712283688@sfu.ca>
  7. Sender: news@sfu.ca
  8. Organization: Simon Fraser University, Burnaby, B.C., Canada
  9. References: <PCL.92Jul27140810@black.oxford.ac.uk> <1992Jul27.184324.14697@hubcap.clemson.edu> <1992Jul27.201712.15229@jato.jpl.nasa.gov>
  10. Date: Tue, 28 Jul 1992 00:34:48 GMT
  11. Lines: 34
  12.  
  13. dave@jato.jpl.nasa.gov (Dave Hayes) writes:
  14.  
  15. >hubcap@hubcap.clemson.edu (System Janitor) writes:
  16. >>The point is, even if you use npasswd, a cracker will still get some of
  17. >>your passwords. So what if they only get 10 instead of 200, they'll still
  18. >>have some userids from which to launch their nefarious plans.
  19. >>So, aren't you fooling yourself to think that npasswd like schemes 
  20. >>enhance your system security enough to make them worthwhile? 
  21.  
  22. >This is a hard statement to agree with, given that it is only a matter 
  23. >of time before someone puts crack-like word scanning in npasswd. 
  24.  
  25. >Keep in mind that scanning plaintext matches is far faster than scanning 
  26. >crypted ones.
  27.  
  28. >-- 
  29. >Dave Hayes - Network & Communications Engineering - JPL / NASA - Pasadena CA
  30. >dave@elxr.jpl.nasa.gov       dave@jato.jpl.nasa.gov         ...usc!elroy!dxh
  31.  
  32. >    If it works...use it. If it doesn't, find out why and use THAT. 
  33.  
  34. And given that you have that plaintext password at this point, you don't have
  35. to search anything like the whole dictionary since after doing the transform
  36. you can eliminate all entries that for instance don't match the first letter
  37. of the word (assuming a sorted dictionary) cutting the work down to a managable
  38. level.
  39.     Even now when this isn't true, it reduces the number of bad passwords
  40. that they have to find with Crack before you do. Npassword isn't an end in
  41. itself, you still need to do a bunch more things, but it is one of the things
  42. that helps.
  43.  
  44.  
  45. Peter Van Epp / Operations and Technical Support 
  46. Simon Fraser University, Burnaby, B.C. Canada
  47.