home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / security / misc / 851 < prev    next >
Encoding:
Internet Message Format  |  1992-07-28  |  2.3 KB
  1. Xref: sparky comp.security.misc:851 alt.security:4030 comp.unix.ultrix:5933
  2. Newsgroups: comp.security.misc,alt.security,comp.unix.ultrix
  3. Path: sparky!uunet!gatech!hubcap!hubcap
  4. From: hubcap@hubcap.clemson.edu (System Janitor)
  5. Subject: Re: Problem with npasswd??
  6. Message-ID: <1992Jul28.160606.12234@hubcap.clemson.edu>
  7. Organization: Clemson University
  8. References: <PCL.92Jul27140810@black.oxford.ac.uk> <1992Jul27.184324.14697@hubcap.clemson.edu> <1992Jul28.012207.27248@news.uiowa.edu>
  9. Date: Tue, 28 Jul 1992 16:06:06 GMT
  10. Lines: 36
  11.  
  12. dsiebert@icaen.uiowa.edu (Doug Siebert) writes:
  13.  
  14. >With that kind of logic why bother with security at all?  
  15.  
  16. Now now. Calm down. I don't think my logic makes me that much of a kook.
  17. I want an unCrackable password file. I haven't yet come up with how to 
  18. get one. npasswd, which has been defended nicely here since I first posted,
  19. doesn't seem like the way to get an unCrackable password file. Nobody
  20. wants draconian security measures that get in the user's ways, so what
  21. we need is a simple elegant way to get an unCrackable password file.
  22. There may not be a simple elegant way to get an unCrackable password file. 
  23. That doesn't stop us from looking for one. 
  24.  
  25. >If you really do check a 800,000 word dictionary with 300
  26. >transmorgrifications each a cracker would have to work a REALLY long time to
  27. >get even one password
  28.  
  29. It takes a long time to run to completion, but it doesn't take long at all 
  30. to get lots of passwords. After the first rush of easy-to-guess passwords
  31. spews out (these are the ones I would expect npasswd to cut down on) then
  32. harder ones continue to dribble out for days. I wouldn't expect npasswd
  33. to make that much of an impact on these.  npasswd is a good thing in its 
  34. own light, but I always thought it sprang up as a (flawed) way to fight crack. 
  35.  
  36. I'll try to scrounge up the time (to convince a graduate student :-) to 
  37. graft crack to npasswd (seems like someone would have already done that) 
  38. and then hook it to our 800,000 word dictionary and 300 rulesets and see 
  39. how long it takes. Already this discussion has suggested some optimizations 
  40. on how to zip through the rulesets.
  41.  
  42. -Mike
  43.  
  44. Humorous aside: A local user set his password to a ``random'' string
  45. of lower case letters. While Crack was going through the rock-star 
  46. dictionary, and was checking for the drummer of Metalica backwards, it
  47. got him!
  48.