Gérard Henry wrote:
bonjour a tous,
comme beaucoup de gens, nous faisons tourner john (the ripper) pour
evaluer la solidite de nos mots de passe.
Dans solaris 10, on peut modifier l'algorithme de hash et remplacer
crypt par md5 (si j'ai bien compris)
md5 sou blowfish. Je choisirais plutôt le second, mais la différence est
probablement faible (md5 est en fin de vie, et blowfish supporte 256
cars plutôt que 128).
Sur un serveur nis, si on fait cela alors que les mots de passe ont ete
generes avant cette modification pensez vous qu'il faille tous les
regenerer?
Obligatoirement, puisque crypt() n'est pas réversible. Le système ne
peut pas rechiffrer les mots de passe sans les connaître.
Est ce que ca les rendra plus resistants a des attaques
telles que celle de john?
Si les mots de passe exploitent réellement les nouvelles capacités, ie,
sont plus longs, oui.
Sinon, ça ne change rien à une attaque par force brute ou dictionnaire,
sinon que ces checksums doivent être plus longs à calculer, et donc ça
prendra plus de temps.
En resume, faut il systematiquement faire la modif:
http://solaris-fr.org/home/docs/base/secu
ou bien y a t il des cas ou il vaut mieux s'abstenir? (par exemple si
clients nis linux?)
Dans mon contexte, je n'ai trouvé que smc et screen qui ne supportent
pas les mots de passe étendus. Je suppose que toute application bien
programmée pour utiliser les API système devrait fonctionner, mais je
n'ai pas essayé avec NIS.
Mais NIS envoie les mots de passe en clair, non? Donc, y-a-t-il un
bénéfice en terme de sécurité?
Laurent
_______________________________________________
Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures
Solaris_fr@x86.sun.com
http://x86.sun.com/mailman/listinfo/solaris_fr
