home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / bit / listserv / ibmmain / 2836 < prev    next >
Encoding:
Text File  |  1992-12-11  |  7.5 KB  |  150 lines
  1. Newsgroups: bit.listserv.ibm-main
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!magnus.acs.ohio-state.edu!csn!stortek!LSTC2VM.stortek.com!MCMASTER
  3. From: MCMASTER@LSTC2VM.stortek.com (Jim McMaster)
  4. Subject: Re: Password (was mvs tcp/ip) security
  5. Message-ID: <168BAAB78.MCMASTER@LSTC2VM.stortek.com>
  6. Sender: usenet@stortek.com
  7. Nntp-Posting-Host: lstc2vm.stortek.com
  8. Organization: StorageTek SW Engineering
  9. References:  <IBM-MAIN%92121013002927@RICEVM1.RICE.EDU>
  10. Date: Fri, 11 Dec 1992 19:11:35 GMT
  11. Lines: 137
  12.  
  13. In article <IBM-MAIN%92121013002927@RICEVM1.RICE.EDU>
  14. "Mark C. Lawrence" <M.Lawrence@STANFORD.BITNET> writes:
  15.  
  16. >REPLY TO 12/10/92 05:09 FROM IBM-MAIN@RICEVM1.BITNET "IBM Mainframe Discussion
  17. >list": Re: telnet mvs tcp/ip security
  18. >
  19. >On  Wed, 9 Dec 1992, Jim McMaster <MCMASTER@LSTC2VM.STORTEK.COM> writes,
  20. >>In article <"92-12-08-14:42:49.00*X22"@MVS.URZ.UNI-HEIDELBERG.DE>
  21. >>X22@MVS.URZ.UNI-HEIDELBERG.DE writes:
  22. >>
  23. >>>[description of MVS TCP/IP security hole deleted]
  24. >>>My question: Is there a real danger that somebody writes a
  25. >>>program (in MVS, VM, AIX, UNIX, OS/2, MS-DOS, ...) which
  26. >>>generates passwords and feeds them into the TELNET dialog?
  27. >>
  28. >>This is a very small exposure compared to the inherent insecurity of
  29. >>passwords.  Certainly a program can generate all possible passwords
  30. >>quickly, but how fast will MVS accept them?  Let's assume you have an
  31. >>eight character random password, composed of characters from the set
  32. >                 :::::::::::::::
  33. >>A-Z and 0-9.  This allows 36**8 = 2.8 trillion possible passwords.
  34. >
  35. >Not all of which are equally likely, unless you have a random-string generator
  36. >make them up, in which case you are sure to end up with the problem you refer
  37. >to below...
  38. >
  39. Agreed.  My problem is with the reliance on passwords to provide
  40. security.  Passwords are inherently insecure, and if you attempt to
  41. close one hole, you always open one of the other ones.  I was trying to
  42. say that this particular hole is not as big as you might expect.  Yes,
  43. a CRAY could probably generate all possible passwords in a matter of
  44. hours, but it is impossible to get MVS to accept them that fast.
  45.  
  46. Worrying about this particular hole is like installing iron bars on
  47. your third floor windows while ignoring the broken lock on the front
  48. door.
  49.  
  50. >>Assuming TSO/TELNET has a consistent one-second response time and stays
  51. >>up 24 hours per day, 365 days per year (HAH!), it would take
  52. >>36**8/60/60/24/365 = 89,456 years to input them all.  You have to enter
  53. >>one-half the possible passwords to have a 50% probability of hitting
  54. >>the correct one, so you really are "safe" only for 44,728 years.
  55. >
  56. >Well, this certainly illustrates why the password shouldn't be any word that's
  57. >in the dictionary, for example.  It would only take a couple of days (at your
  58. >assumed 1/sec rate) to test the whole English dictionary.
  59. >
  60. That is why I don't use English words.  I pick a word, then
  61. deliberately misspell it.  This prevents dictionary-type assaults.
  62.  
  63. >>If you have a minimum password length of five aharacters, you are down
  64. >>to about one "safe year".  If you require a password change every sixty
  65. >>days, the attacker could enter about 8% of the possible five-character
  66. >>passwords before it changes, assuming miraculous availability and
  67. >>response time.
  68. >
  69. >Yes, but the more often you require passwords be changed, the more likely it
  70. >is that the user will either (1) pick a word from the dictionary or (2) tape
  71. >it to the terminal (remember how the kid got the password to the school
  72. >computer in WarGames?).  You want users to choose a password (yes, choose, not
  73. >have it chosen) that they can easily remember (so they won't tape it to the
  74. >terminal) and that no one else can easily guess.  The set of such words is
  75. >small; requiring frequent changes will result in one of the first two rules
  76. >being violated.  The password should be changed only when one suspects misuse
  77. >of the account, or when an authorized user terminates employment, or one
  78. >otherwise believes security to be compromised.
  79. >
  80. A speaker at a Computer Security Conference a few years ago had code
  81. that generated random pronounceable passwords.  Not words, just
  82. combinations of characters that could be pronounced.  I never got the
  83. code, but the idea was to have a single thing to remember.
  84.  
  85. He also cited studies that only a very small percentage of people could
  86. remember a random string of eight things (on the order of 5%, I think).
  87. About 97% can remember a random string of five things, with the others
  88. being those who can't remember their own phone numbers.  He advocated a
  89. five-character random password, changed every 60-90 days on the basis of
  90. his research.
  91.  
  92. A better approach is to use some sort of security system that does not
  93. use passwords at all.  These, however, are expensive, so management
  94. does not want to hear about them.
  95.  
  96. >There is also no substitute for paying attention.  Someone needs to be
  97. >notified when there are multiple unsuccessful attempts to logon.  My system
  98. >notifies me (when I logon) if there was an unsuccessful attempt; it also tells
  99. >me when the last logoff was, so I would detect a successful logon too.  This
  100. >last check obviously does no good if you leave unused accounts open for long
  101. >periods of time.
  102. >
  103. Agreed again.  As long as you pay attention, you can reduce some of the
  104. risks of passwords.  The original poster asked if the threat of
  105. someone's using a computer in a brute-force assault was real.  My
  106. response was (and is) that it is, but the risk is very small.
  107.  
  108. >>As I said, it is a risk, but a more likely exposure is the idiot who
  109. >>uses his wife's name or tapes his password to his terminal.
  110. >
  111. >Well, I won't defend the first, but the second is the result of the idiot
  112. >sysadmin who requires that the password be changed every "n" days and/or has a
  113. >random-string generator make them up.  You tell me my password for this week
  114. >is ZQ97PAA9, and you think I'm gonna remember it?  Fat chance.
  115. >
  116. >Maybe instead of doing password expiration, the system should do password
  117. >guessing.  You enter your new password, the system checks its standard list
  118. >(dictionary plus whatever other "easily guessed" words you could define); if
  119. >your choice is in the list, it is rejected.
  120. >
  121. >The problem (as with many "auditing" type problems) is that there is a
  122. >tendency to check what is easy to check, instead of what is important.  It's
  123. >real easy to have the system monitor password ages, generate reports, do nasty
  124. >things to users who fail to change their password every "n" days.  But the
  125. >system can't tell that you wrote the password on the paper taped to your desk,
  126. >or stuck it on the terminal with a Post-It, or stored it in a file on your
  127. >other account, or...?
  128. >
  129. You have hit the nail on the head.  The weaknesses in a password system
  130. are human failings, not technical problems.  Using technical means to
  131. overcome human failings is a losing proposition.  The only reason for
  132. using a password-based security system is that they are cheap and easy
  133. to implement.  They also are inherently insecure.  You get what you are
  134. willing to pay for, and management typically is not interested enough
  135. to pay for very much.
  136.  
  137. >As to TCP/IP MVS, invalid passwords supplied to it don't trigger "unsuccessful
  138. >logon attempt" messages on my system at least, but they do appear in the job
  139. >log of the TCPIP task.  So it would pay to have someone reviewing that log on
  140. >a regular basis, to detect "brute force" hacking attempts.
  141. >
  142. >Mark C. Lawrence
  143. >Systems Programmer     Internet: M.Lawrence@Forsythe.Stanford.edu
  144. >Stanford Data Center     Bitnet: M.Lawrence@STANFORD
  145. >Stanford, CA 94305-4136     Tel: (415) 723-4976
  146. >
  147. >To:  IBM-MAIN@RICEVM1.BITNET
  148.  
  149. Jim McMaster
  150.