home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / os / vms / 20641 < prev    next >
Encoding:
Internet Message Format  |  1993-01-09  |  5.5 KB
  1. Path: sparky!uunet!gatech!asuvax!ncar!noao!arizona!arizona.edu!bpavms.bpa.arizona.edu!kaplan
  2. From: kaplan@bpavms.bpa.arizona.edu (Steve... friends don't let friends do DOS.)
  3. Newsgroups: comp.os.vms
  4. Subject: Re: PASSWORDS & SCHEMES
  5. Keywords: plaintext storage
  6. Message-ID: <9JAN199300424381@bpavms.bpa.arizona.edu>
  7. Date: 9 Jan 93 07:42:00 GMT
  8. Distribution: world,local
  9. Organization: University of Arizona MIS Department
  10. Lines: 89
  11. Nntp-Posting-Host: bpavms.bpa.arizona.edu
  12. News-Software: VAX/VMS VNEWS 1.41
  13.  
  14. >JLW@PSULIAS.PSU.EDU ("J.Lance Wilkinson,  865-1818", 814) writes:
  15. >>    Since, as Dan mentioned, we have a way to add new items to the 
  16. >>    DEC-supplied dictionary, I've wanted to do was to adapt a working 
  17. >>    dictionary-based password policy program (like Ted Neiland's, for 
  18. >>    example), to, instead of validating the plaintext password against
  19. >>    a dictionary, record the plaintext passwords which got this far (thus
  20. >>    they are *accepted* by VMS's other filters) in a file.  Weekly, we'd 
  21. >>    analyze the file of recorded plaintext passwords (saved *without* the 
  22. >>    username, of course) to see if there were any words cropping up more 
  23. >>    often.  These words would then need to be added to the dictionary 
  24. >>    because they're getting too popular as passwords.
  26. >This is an incredibly bad idea.  It's somewhat irrelevent if you keep the
  27. >username or not.  If you have 20 users change the password in a week, you
  28. >can guess easily, or find out exactly has each one (by looking at the password
  29. >change date in the UAF).
  30.  
  31. I agree, but the basic idea is not without merit.
  32.  
  33. >Plus, this is a hacker's dream.  Why use dictionaries when you have a file
  34. >of x known good passwords on the system?  Think again on this one, and don
  35. >your asbestos suit...
  36.  
  37. Yep - this scheme would be a great attack path.  However, done in a way
  38. that protects against abuse, its very interesting!  Consider Dr. (Professor)
  39. Net News - Gene Spafford's (spaf@cs.purdue.edu) work.  At the most recent
  40. USENIX Security Symposium (Baltimore - September 14-16, 1992), he presented
  41. his work on project OPUS - "Observing Reusable Password Choices".  While this
  42. work is being done to develop a password screening method for passwords in
  43. UNIXland (where they have less "built-in" capability than we do here in
  44. VMSland), it is - I believe - applicable to us VMSers.  If nothing else, I
  45. believe that you'll find some things about it interesting.
  46.  
  47. To test their work, they had to develop a "representative password
  48. sampler".  Obviously - quoting Spafford here - ".. the challenge of such a
  49. sampling mechanism is how to protect it from attack and how to protect the
  50. results from being used against the system..."
  51.  
  52. Now, I know that this is not a place for "CSish" research stuff, but I
  53. thought that you might be interested in a pointer, anyway.  Basically,
  54. he uses public cryptography to protect the plaintext passwords in transit
  55. (i.e.: the remote systems all over the net have HIS public key and HE -
  56. back at the site that is receiving the encrypted passwords for
  57. analysis - has his private key <as an "asymetric" cypto system, it uses two
  58. keys>).  He advertises the UNIX-based password collection software as being
  59. available, but the public key component must be licensed from RSA Data
  60. Security (Redwood City, CA).  However, you could susbtitute your own crypto
  61. if you wanted to do so, I suppose.
  62.  
  63. In his paper, he points out that a good dictionary-based method of
  64. disallowing the choice of poor passwords has a serious problem:  storage. 
  65. For his research, he is using a "moderately comprehensive" dictionary with
  66. 500,000 words in it and he points out that this consumes 5MB.  Including his
  67. full-fledged collection of dictionaries (11 foreign language, proper names,
  68. atlas, and slang terms) it takes up 30MB!  OPUS is targeted at screening
  69. passwords without this massive storage requirement.  His paper is available
  70. in the 1992 USENIX Security Symposia proceedings (available from USENIX at
  71. 2560 Ninth St., Suite 215 - Berkeley, CA  94710 for $39 for non-USENIX
  72. members + $11 per copy for outside-U.S. shippments).
  73.  
  74. OPUS is part of COAST (Computer Operations Audit and Security Tools)
  75. project at Purdue.  Contact Spaf about these projects and try to bring some
  76. $ to the table.  This is good work that needs support.  OPUS will be
  77. offered - first - to COAST members, and then to the rest of us.  Bring
  78. money - become a COAST member!  (Write spaf@cs.purdue.edu with offers of
  79. $).
  80.  
  81. If you have no $, I'd wait for Gene's work to be published and then just
  82. grab his algorythims for inclusion in a local filter UNTIL DEC gets around
  83. to supplying it by default - if they ever do.  Meantime, the only problem
  84. with the collection and storage of plaintext user password choices is the
  85. not-so-obvious one of inadvertently making them available to an attacker. 
  86.  
  87. Come, come now.  There has to be someone out there who said "Hey - the
  88. plaintext files ARE protected against access, you know!".
  89.  
  90. Experience shows that passwords STILL are the biggest problem.  Consider
  91. that the ability to "mix in" with the legit user community (un-noticed by
  92. curious system managers and annoying programs that whack your illicitly
  93. obtained privs) makes you "golden".  You 1) steal/guess a password and then
  94. 2) just "slip" in with the rest of the users where, (presumably) you can
  95. use a system bug or a system/network management oversight to get/give up
  96. privs as you need them during your attack.
  97.  
  98. ... (and he was seen wandering off toward the bar, talking to himself...)
  99.  
  100. RayK 8)
  101. Ray Kaplan
  102. I don't need to have my point of view prevail - I just want to be correct.
  103.