[uanog] sftp vulnerability?
Valentin Nechayev
netch at netch.kiev.ua
Wed Sep 2 18:36:23 EEST 2020
Wed, Sep 02, 2020 at 18:27:29, doka wrote about "Re: [uanog] sftp vulnerability?":
> Ну так, там один з каментів - найважливіший, мені йдеться - "If the
> password is stored as DES or MD5 then only the first 8 characters
> are significant. SHA passwords have no such limit. See the crypt(3)
> man page for details."
Про MD5 - тупое враньё (ну разве что особо кривая реализация в каком-то из
диких линуксов):
$ python
Python 2.7.18 (default, Jun 6 2020, 10:24:50)
[GCC 4.2.1 Compatible FreeBSD Clang 8.0.0 (tags/RELEASE_800/final
356365)] on freebsd11
Type "help", "copyright", "credits" or "license" for more information.
>>> import crypt
>>> crypt.crypt('123456789', '$1$abcd')
'$1$abcd$h/.Te6wpHJ2m/EsOKvQeo0'
>>> crypt.crypt('12345678a', '$1$abcd')
'$1$abcd$lzy8DBUHCp8nuEYRA7HCG1'
То же для blowfish.
Но надо учесть, что при выходной длине в 128 бит соответственно всего
лишь 2**128 различных паролей :)
И ещё одно - известные проблемы MD5 в виде second preimage attack,
из-за которой она давно не годится для электронной подписи и проверки
неподдельности файлов, не относятся к шифрованию паролей на основе
MD5. Md5crypt по-прежнему вполне секьюрен. Увидите Дреппера - стукните
посильнее, чтобы не гнал противоположного :)
> Я навіть ніколи не задавався питанням, як налаштувати зберігання
> паролів в системі, а ж дивись - здається, так можна і навіть можна
> MD5 встановити? :)
Место настройки дефолтной политики очень зависит от дистрибутива.
-netch-
More information about the uanog
mailing list