home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / security / misc / 838 < prev    next >
Encoding:
Internet Message Format  |  1992-07-27  |  1.9 KB
  1. Xref: sparky comp.security.misc:838 alt.security:4023 comp.unix.ultrix:5922
  2. Path: sparky!uunet!usc!sdd.hp.com!uakari.primate.wisc.edu!usenet.coe.montana.edu!news.u.washington.edu!ogicse!reed!nelson
  3. From: nelson@reed.edu (Nelson Minar)
  4. Newsgroups: comp.security.misc,alt.security,comp.unix.ultrix
  5. Subject: Re: Problem with npasswd??
  6. Message-ID: <1992Jul28.035951.22683@reed.edu>
  7. Date: 28 Jul 92 03:59:51 GMT
  8. References: <PCL.92Jul27140810@black.oxford.ac.uk> <1992Jul27.184324.14697@hubcap.clemson.edu>
  9. Organization: Reed College, Portland, OR
  10. Lines: 29
  11.  
  12. In article <1992Jul27.184324.14697@hubcap.clemson.edu> hubcap@hubcap.clemson.edu (System Janitor) writes:
  13. >Unless I am mistaken, npasswd doesn't check for everything crack
  14. >does.  Even dropping the time consuming crypt part, it seems like it
  15. >would take an unacceptable amount of time to change your password if
  16. >it were checked against, say, an 800,000 word dictionary with 300
  17. >transmogrification rulesets.
  18.  
  19. But remember - if n is the number of words you want to check against
  20. (say, 20000 words * 15 transformations = 300k words), you only have to
  21. do O(log n) comparisons. Your password cracker is going to be doing
  22. O(n) comparisons, and she's going to be doing it through a slow crypt
  23. function. You win.
  24.  
  25. Furthermore, there's no reason in principle that the crack 4.1 word
  26. generation engine (which is excellent) can't be grafted into npasswd.
  27. I keep hoping someone else will do the work for me.
  28.  
  29. >The point is, even if you use npasswd, a cracker will still get some
  30. >of your passwords. So what if they only get 10 instead of 200, they'll 
  31. >still have some userids from which to launch their nefarious plans.
  32.  
  33. yes, but if you have 2000 users and only 10 of the passwords are
  34. crackable, then it will take a *long* time for the "nefarious cracker"
  35. to get at those passwords.
  36.  
  37. Security is a game of staying ahead, not being perfect.
  38. -- 
  39.                 __
  40. nelson@reed.edu \/   Delicious & Nutritious breakfast cereals shot from guns!
  41.