home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / phun1.002 < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.8 KB  |  120 lines
  1.  
  2.                           Phile 1.2 of 1.14
  3.  
  4.                     Fundamentals of UNIX passwords
  5.                     ------------------------------
  6.                           By: Mr. Slippery
  7.  
  8.  
  9. I will answer the following questions:
  10.  
  11. What are good passwords? What are bad passwords? Why does UNIX
  12. system V require 6 character passwords with funny characters?
  13. How long would it take to break ANY 6 character password.
  14.  
  15. In 1981, Rober Morris and Ken Thompson wrote up their findings about
  16. passwords. The document is called "Password Security - A Case History"
  17. and is present in the documentation for some versions of UNIX.
  18.  
  19. They did a survey of various systems ands found that out of 3,289
  20. passwords 15 were a single character, 72 were 2 characters long,
  21. 464 were 3 chars, 477 where 4 alphanumeric, 706 were 5 letters,
  22. 605 were 6 letters, all lower case and 492 appeared in various
  23. dictionaries. 86% of the passwords were thus easily breakable if
  24. you have a password hacker and access to the password file. This
  25. is why UNIX V requires a minimum 6 characters some of which must
  26. not be letters.
  27.  
  28. The article also said that some "good" things to try are dictionary
  29. entries with the words spelled backwards, list of first names, last
  30. names, street names, city names, (try with an inital upper case
  31. letter as well), valid license plate numbers in your state, room
  32. numbers, telephone numbers and the like.
  33.  
  34. Some others have suggested that people use woman's names (with a
  35. trailing digit), their logins repeated or massaged (login abc,
  36. password abcabc, cbacba), anything in the "GECOS" (comment) field of
  37. the password file and anything significant that you know about the
  38. person (their kid's name).
  39.  
  40. But what about trying every possible password? How long would it take?
  41. The article had some numbers based on a PDP 11/70. It showed that 6
  42. character passwords were too hard to break by exhaustive search if
  43. someone was forced to use more than just letters and numbers. Using
  44. all 95 printable characters, it would take a PDP 11/70 about 33 years
  45. to try all of them. BUT TIMES ARE CHANGING. One fine weekend I tried
  46. the same experiement with a modern 25MHz computer. From 33 years its
  47. down to 6 months. If you have access to a mainframe or cray, it could
  48. be a matter of days or weeks to break a password.
  49.  
  50. Of course, this is not something that would go unnoticed. Using up all
  51. the resources of a CRAY would show up but over a long weekend, who
  52. knows? If people are paying attention to the system activity (sar)
  53. they will notice that you've used up all the system resources and
  54. start asking potentially embarresing questions.
  55.  
  56. If you have a bunch of friends to help and divide up the job,
  57. it could be a lot faster. Naturally though, it has to be worth your
  58. time and effort. Someone running Xenix or MINIX on a PC is hardly
  59. worth the effort.
  60.  
  61. And if the person was using 7 or 8 character passwords it would take
  62. just too long.
  63.  
  64. If you examine the password encryptation method that UNIX uses, you
  65. will notice that a 'salt' is used. This can have 4K (4,096 for the
  66. uninitiated) values so generating every possible password IN ADVANCE
  67. would take 4K times whatever the time required so its not worth the
  68. attempt either.
  69.  
  70. How long will the 'door' be open? This fact that people are getting
  71. better and better at guessing passwords in not lost on all concerned.
  72. AT&T has put something called "password shadowing" in their latest
  73. release (V.3.2). Basically what they did is to make the password file
  74. unreadable by anyone but root. This stops people from taking the
  75. password file to another machine and working on it at leasure. SUN and
  76. IBM are doing similar things (hang around USENIX/Uniforum when the
  77. shows come to your town to see what they are up to).
  78.  
  79. Well, what is this all leading up to? Are people going to give up
  80. their hobby? Just between you and me, I kind of doubt it. Password
  81. 'shadowing' is optional, after all. People will still choose bad
  82. passwords or even no passwords. Many people will not load the lastest
  83. operating systems.
  84.  
  85. On the other hand, its not only UNIX systems that people choose bad
  86. passwords for. I assume that I could break many hackers and phreaks
  87. passwords on various boards but that would be unfriendly and get me
  88. into trouble, so I won't try :-) (for the novice, this is a smiley
  89. face and means that I'm joking :-( is a frown). Those out there who
  90. are sysops might want to see what people choose for passwords since
  91. I assume we're almost as lazy as other people. Me, I don't use
  92. anything that you could guess except on one board that had trouble
  93. with a special characters!
  94.  
  95. Writing a password cracker: On UNIX, at least, this is simple assuming
  96. you have access to the 'domestic' version. The 'international' version
  97. has the crypt function deleted. I don't know why they bothered since
  98. all the KGB has to do is visit any one of 10,000 sites with UNIX
  99. source code but I guess the government likes to play "lets pretend".
  100.  
  101. By the way, in case you are waiting for a nice cheap FAST DES chip to
  102. come out, the UNIX people did not exactly use DES. They diddled it a
  103. bit to stop hardware from making the job too fast.
  104.  
  105. I assume that the principles I've talked about here apply to other
  106. operating systems. Some are a LOT easier. The earlier versions of the
  107. Pick operating system did not even encrypt the passwords. All you had
  108. to do was to 'dump' the right 'frame' of disk to see them! I think
  109. that some of the mainframe packages such as RACF or ACF2 don't encrypt
  110. but I'm not 100% sure.
  111.  
  112. A final thought: one thing to look for in general are assumptions made
  113. a number of years ago that people have not reexamined. Exhaustive
  114. searches of 6 character passwords is just one example. I'm sure there
  115. are others.
  116.  
  117.  
  118. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  119. =
  120.