home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / os / vms / 20690 < prev    next >
Encoding:
Internet Message Format  |  1993-01-10  |  2.0 KB
  1. Path: sparky!uunet!psinntp!sfpp.com!longo
  2. From: longo@sfpp.com (Bob Longo)
  3. Newsgroups: comp.os.vms
  4. Subject: Re: PASSWORDS & SCHEMES
  5. Message-ID: <1993Jan9.222744.30@sfpp.com>
  6. Date: 9 Jan 93 22:27:44 PST
  7. References: <01GT8W0T1GO2006MJF@VAXF.COLORADO.EDU>
  8. Distribution: world
  9. Organization: Santa Fe Pacific Pipelines
  10. Lines: 48
  11.  
  12. In article <01GT8W0T1GO2006MJF@VAXF.COLORADO.EDU>, DWING@UH01.Colorado.EDU (Dan Wing) writes:
  14. > The V5.4 password checking algorithm does not allow your username to be
  15. > your password, or your username + username:
  17. >   $ SET PASS
  18. >   Old password:
  19. >   New password: DWINGDWING
  20. >   %SYSTEM-F-PWDWEAK, password is too easy to guess; please choose another 
  21. >   string
  23. > Mayhaps someone with source listings could detail all the various permutations 
  24. > that are (currently) dis-allowed.
  26.  
  27. I looked at the sources and found the following checks in SETPWD (the SET
  28. PASSWORD module):
  29.  
  30.     o  Length
  31.     o  Syntax
  32.     o  If not a generate password, and user is not DISPWDDIC, and not
  33.         setting the system password (SET PASSWORD/SYSTEM), then
  34.         1) Make sure that the chosen password is not in the system
  35.            dictionary.
  36.         2) Disallow any password that contains the username or node
  37.            name.
  38.         3) Check plaintext password against site-specific policy.
  39.     o  User is asked to enter password again and 2nd is checked to make
  40.        sure it matches the first.
  41.     o  Password is then hashed and checked against the history file (if
  42.        appropriate).
  43.  
  45. > Using the site-specific policy, you can require that special characters such 
  46. > as @, #, $, %, &, etc., be present in the password string.  It also captures
  47. > the plaintext password -- I hope it goes without saying, but DON'T STORE 
  48. > THIS ANYWHERE!
  49.  
  50. I don't think so.  The code first verifies password syntax and only allows
  51. characters are "A-Z", "0-9", "$" and "_".  This check is done before the
  52. plaintext password policy check is invoked.
  53.  
  54. -Bob Longo
  55. -- 
  56. ==============================================================================
  57. Bob Longo (longo@sfpp.com)
  58. Santa Fe Pacific Pipelines
  59. Los Angeles, CA
  60.