home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / sun / admin / 8474 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  3.0 KB
  1. Path: sparky!uunet!munnari.oz.au!uniwa!craig
  2. From: craig@ec.uwa.oz.au (Craig Richmond - division)
  3. Newsgroups: comp.sys.sun.admin
  4. Subject: Re: writing down root password
  5. Date: 20 Nov 1992 01:44:11 GMT
  6. Organization: The University of Western Australia
  7. Lines: 45
  8. Message-ID: <1ehftbINN5bc@uniwa.uwa.edu.au>
  9. References: <1dnuccINNgb@uniwa.uwa.edu.au> <janet.721445867@dunnart> <1992Nov11.220238.23297@grebyn.com> <1992Nov16.140310.4113@prism.poly.edu>
  10. NNTP-Posting-Host: decel.ecel.uwa.edu.au
  11.  
  12. kapela@prism.poly.edu (Theodore S. Kapela) writes:
  13.  
  14. >I may have misinterpretted this, but:
  15. >If /etc/passwd was indeed trashed, and the "root" entry was either missing
  16. >or wrong, what good would it do to have the root password at all?  If
  17. >you can't become root in multi-user, and the console is marked as not
  18. >being secure in /etc/ttytab, you can't become root via booting
  19. >single-user either, unless you boot from some other device (another bootable
  20. >partition, CD, tape, net, etc. . .)
  21.  
  22. Are you sure about this?  I was under the impression that when you boot
  23. into single user mode, the userid is 0 and it is irrelevant what is in
  24. /etc/passwd.  The reason I say this is that single user mode ignores many
  25. other useful features of unix.  Being short of terminals we put a mega dumb
  26. terminal as the console of a VAX 11/750.  UPPER CASE ONLY!  This was fine
  27. and you could just manage to use it.  Then we wanted to take the machine
  28. back to single user mode and did so, but all of a suddent unix forgot that
  29. the terminal was uppercase only and refused to run any of the upper case
  30. commands we were typing.  The console on our VAX was easily accessible, but
  31. was secure under the pretence that nobody in their right mind was going to
  32. go screwing with the buttons and dials on the front of the VAX in case they
  33. broke something.  Bit stupid really.  How could you possibly break a VAX?
  34.  
  35. >Passwords should be something "not easily guessed" (Given enough time, 
  36. >any brute-force method would *eventually* discover a password.  The
  37. >question is would it be in our lifetime?
  38.  
  39. A friend is working on a Macintosh network program and has started delving
  40. into the 2 way encryption that it uses.  If you are snooping the network
  41. and you see the random number for the encryption go one way and then see
  42. the encrypted password (based on the random number) go back the other way,
  43. you can build yourself a highly pipelined hardware password cracker for
  44. about $10000.  I think the actual figure was less.  This password cracker
  45. would take about 3 years to crack any given password.  Given the small cost
  46. of this, any respectable institution could crack arbitrary passwords in
  47. months or even weeks for perfectly acceptable amounts of money.
  48.  
  49. Computers continue to get faster and DES probably won't be enough soon.
  50.  
  51. Craig
  52. --
  53. Craig Richmond.  Computer Officer -  Dept of Economics (morning) 380 3860
  54.   University of Western Australia    Dept of Education (afternoon)
  55. craig@ecel.uwa.edu.au Dvorak Keyboards RULE!  "Messes are only acceptable
  56. if users make them.  Applications aren't allowed this freedom" I.M.VI 2-4
  57.