home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / os / vms / 20602 < prev    next >
Encoding:
Text File  |  1993-01-08  |  2.6 KB  |  51 lines
  1. Newsgroups: comp.os.vms
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!uwm.edu!ux1.cso.uiuc.edu!usenet.ucs.indiana.edu!fractal!mdchaney
  3. From: mdchaney@fractal.ucs.indiana.edu (M Darrin Chaney)
  4. Subject: Re: PASSWORDS & SCHEMES
  5. Message-ID: <C0Jwzv.5xn@usenet.ucs.indiana.edu>
  6. Sender: news@usenet.ucs.indiana.edu (USENET News System)
  7. Nntp-Posting-Host: fractal.ucs.indiana.edu
  8. Organization: Indiana University, Bloomington
  9. References: <01GT9TRQCTGKC2ICDK@psulias.bitnet>
  10. Date: Fri, 8 Jan 1993 20:02:19 GMT
  11. Lines: 38
  12.  
  13. JLW@PSULIAS.PSU.EDU ("J.Lance Wilkinson,  865-1818", 814) writes:
  14. >    Since, as Dan mentioned, we have a way to add new items to the 
  15. >    DEC-supplied dictionary, I've wanted to do was to adapt a working 
  16. >    dictionary-based password policy program (like Ted Neiland's, for 
  17. >    example), to, instead of validating the plaintext password against
  18. >    a dictionary, record the plaintext passwords which got this far (thus
  19. >    they are *accepted* by VMS's other filters) in a file.  Weekly, we'd 
  20. >    analyze the file of recorded plaintext passwords (saved *without* the 
  21. >    username, of course) to see if there were any words cropping up more 
  22. >    often.  These words would then need to be added to the dictionary 
  23. >    because they're getting too popular as passwords.
  24.  
  25. This is an incredibly bad idea.  It's somewhat irrelevent if you keep the
  26. username or not.  If you have 20 users change the password in a week, you
  27. can guess easily, or find out exactly has each one (by looking at the password
  28. change date in the UAF).
  29.  
  30. Plus, this is a hacker's dream.  Why use dictionaries when you have a file
  31. of x known good passwords on the system?  Think again on this one, and don
  32. your asbestos suit...
  33.  
  34. >+-"Never Underestimate the bandwidth of a station wagon full of mag tapes"--+
  35. >| J.Lance Wilkinson ("Lance")            BitNet:    JLW@PSULIAS.BITNET      |
  36. >| Systems Design Specialist - Lead       InterNet:  JLW@PSULIAS.PSU.EDU     |
  37. >| Library Computing Services         AT&T:(814) 865-1818 FAX:(814)863-3560  |
  38. >| E8 Pattee Library                      "I'd rather be dancing..."         |
  39. >| Penn State University         A host is a host from coast to coast,       |
  40. >| University Park, PA 16802     And no one will talk to a host that's close |
  41. >| <POSTMAST@PSULIAS.BITNET>     Unless the host that isn't close            |
  42. >| <POSTMAST@PSUCES.BITNET>      Is busy, hung or dead.                      |
  43. >+------"He's dead, Jim. I'll get his tricorder. You take his wallet."-------+
  44.  
  45.     Darrin
  46. -- 
  47.  
  48. mdchaney@iubacs mdchaney@bronze.ucs.indiana.edu mdchaney@rose.ucs.indiana.edu
  49.  
  50. "I want- I need- to live, to see it all..."
  51.