Вы в разделе: Безопасность против безопасности
Меняйте пароли чаще!
Опять Novell Netware. Известно, что все пароли пользователей хранятся в ней на сервере в виде 128-битных значений, получаемых в результате применения хэш-функции к паролю. Знание этого хэш-значения злоумышленником автоматически приводит к возможности зарегистрироваться на сервере под именем того пользователя, чье хэш-значение он знает. (Это может быть сделано с помощью специальной слегка подправленной программы login, а также путем генерации "псевдопароля" из известного хэш-значения. Здесь используется тот факт, что хэш-функция, применяемая во всех версиях этой системы, является очень нестойкой и допускает очень быстрое вычисление коллизий (т.е. последовательностей, которые будет на выходе давать одно и то же хэш-значение) [3]).
Именно поэтому хэш-значение тщательно охраняется, и не передается по сети в открытом виде при аутентификации пользователя на сервере. Вместо этого используется стандартная схема "запрос-отклик": сервер посылает случайную последовательность, рабочая станция шифрует ее с вычисленным хэш-значением введенного пароля и отсылает обратно, сервер делает то же самое с имеющимся у него хэш-значением, в случае совпадения двух строк пользователь успешно регистрируется в системе. Но для этого как-то хэш-значение должно оказаться на сервере? Нетрудно понять, что по крайней мере оно должно попадать туда при смене пароля пользователем. А раз так, то злоумышленник, чтобы перехватить хэш, должен дождаться, пока пользователь захочет поменять свой пароль2. А это, к несчастью для него, может произойти в неопределенный момент времени. Если только он не знает этого момента заранее или ... не сможет заставить пользователя сделать это. Вспомним первый пример. Высока вероятность того, что пользователь (или супервизор), узнав о многочисленных попытках взлома своего ресурса (или обнаружив его заблокированным) захочет поменять свой пароль. (Впрочем, если он немного подумает, то он не попадется на эту удочку, и скорее всего попросит администратора отключить блокировку его ресурса в случае "обнаружения нарушителя").
Страницы: [1] [2]
Советуем посетить:
дом из кирпича
подарочные футлярыvip новогодние подарки для женщин, девушек, мужчин
|
 |
|
Полезная информация |
|
|
»
«···
«···
«···
«···
«···
»
«···
«···
«···
«···
«···
«···
«···
«···
«···
«···
«···
«···
«···
«···
»
«···
«···
«···
«···
«···
«···
»
«···
«···
«···
«···
«···
«···
«···
«···
»
«···
»
«···
«···
«···
«···
«···
«···
«···
«···
«···
«···
»
«···
«···
«···
«···
»
«···
«···
«···
«···
«···
«···
«···
«···
»
«···
«···
«···
«···
«···
«···
«···
«···
»
«···
|
| Компьютерные статьи |
|
Лекции по физике и электротехнике
|
|
|
|
|
|
|
