Le mar 28/02/2006 à 11:10, Gérard Henry a écrit : > bonjour a tous, > comme beaucoup de gens, nous faisons tourner john (the ripper) pour > evaluer la solidite de nos mots de passe. > Dans solaris 10, on peut modifier l'algorithme de hash et remplacer > crypt par md5 (si j'ai bien compris) > Sur un serveur nis, si on fait cela alors que les mots de passe ont ete > generes avant cette modification pensez vous qu'il faille tous les > regenerer? Est ce que ca les rendra plus resistants a des attaques > telles que celle de john? > En resume, faut il systematiquement faire la modif: > http://solaris-fr.org/home/docs/base/secu > ou bien y a t il des cas ou il vaut mieux s'abstenir? (par exemple si > clients nis linux?) > > gerard
Remplacer crypt par MD5 revient à remplacer un algorithme de hashage basé sur le DES 56 bits (qui a fait ses preuves) par un autre algorithme de hashage MD5 (128 bits) et sur lequel on a trouvé des collisions en nombre plus important que prévu (il me semble avoir lu qu'en réalité la robustesse de MD5 équivalait en réalité à 8O bits). MD5 est donc malgré tout probablement plus résistant que CRYPT, mais le problème n'est pas là. Le problème c'est NIS et non CRYPT : la solution consiste à remplacer NIS par LDAP en mode SSL (sinon on retombe dans la même problématique de circulation en clair du hash du mot de passe et donc à une possibilité d'attaque dictionnaire). ________________________________________________________________________ -- Christian Pélissier Office National d'Études et de Recherches Aérospatiales BP 72 92322 Chatillon Tel: 33 1 46 73 44 19, Fax: 33 1 46 73 41 50
_______________________________________________ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr