home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / security / misc / 2255 < prev    next >
Encoding:
Text File  |  1992-12-15  |  2.1 KB  |  49 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!mcsun!sunic!aun.uninett.no!nuug!nntp.nta.no!hal.nta.no!styri
  3. From: styri@hal.nta.no (Haakon Styri)
  4. Subject: Re: Passwd traps?
  5. Message-ID: <1992Dec15.102246.5371@nntp.nta.no>
  6. Sender: styri@hal.nta.no (YuNoHoo)
  7. Nntp-Posting-Host: balder.nta.no
  8. Reply-To: styri@nta.no
  9. Organization: Norwegian Telecom Research
  10. References: <1992Dec8.160437.4952@news.columbia.edu> <1992Dec9.123607.22649@nntp.nta.no> <77925@hydra.gatech.EDU> <1935@enst.enst.fr>
  11. Date: Tue, 15 Dec 92 10:22:46 GMT
  12. Lines: 35
  13.  
  14. In article <1935@enst.enst.fr>, tardieu@cyclone.enst.fr writes:
  15. |> In article <77925@hydra.gatech.EDU>, gs26@prism.gatech.EDU (Glenn R. Stone) writes:
  16. |> -> In <1992Dec9.123607.22649@nntp.nta.no> styri@hal.nta.no (Haakon Styri) writes:
  17. |> -> 
  18. |> -> >[...] dan@cubmol.bio.columbia.edu (Daniel Zabetakis) writes:
  19. |> -> >|>     Is there a way to detect password trapping programs.
  20. |> -> >If the login program was able to authenticate itself to you before you
  21. |> -> >revealed your password the problem would be solved.
  22. |> -> 
  23. |> -> Something I saw at the University of California: login was hacked to 
  24. |> -> attempt to open $HOME/.secret (presumably mode 600) and display it
  25. |> -> as the Password: prompt; each individual had his own, custom .secret
  26. |> -> file that he could change from time to time.  If the right challenge
  27. |> -> isn't displayed, then you know that that isn't the real login program.
  28. |> -> 
  29. |> -> 4.3 BSD UNIX (ucscb.UCSC.EDU)
  30. |> -> 
  31. |> -> login: thrush
  32. |> -> What's the haps?
  33. |> 
  34. |> I don't understand the utility of this soft: you just have to make a little
  35. |> Perl or C program which tries to login under each username, and you'll
  36. |> obtain all sentences.
  37. |> It's easyer if you want a particular password.
  38.  
  39. A real good solution to this problem is to use a one-time password system.
  40. Spoofing would be outdated. However, you'll have to introduce a new system
  41. and probably invest some money.
  42.  
  43. A poor mans hack to the "individual challenge" scheme outlined would be to
  44. have more than one password prompt. Not perfect, but harder to beat. The
  45. paranoid user should of course change password every time a login fails...
  46.  
  47. ---
  48. Haakon Styri
  49.