reakce na amatersky clanek o bezpecnosti Linuxu
Karel Zak
zakkr na zf.jcu.cz
Úterý Květen 23 11:50:55 CEST 2000
On Tue, 23 May 2000, Martin Macok wrote:
> On Tue, May 23, 2000 at 11:29:48AM +0200, Karel Zak wrote:
> > proc by neslo lustit hesla na jinem pocitaci pokud si stahnu passwd kde ta
> > hesla jsou? --- (nemluvim o shadow)
>
> Zkuste si na dvou ruznych instalacich dat stejne heslo a podivat se do
> shadow, zda tam bude stejny zaznam hesla ...
:-) bych se tak blbe neptal pokud bych nevedel ze to jde. Mam zkusenost z
lustenim hesel i z ruznych OS na jinem stroji.
Pochopitelne, ze ta hesla jsou jina protoze je vygenerovany jiny salt
(mluvime o DESu). Ale to heslo pochopitelne ten salt obsahuje. Takze pak
staci vzit slovnik a nejaky program ktery to zkousi a je to...
Pro ukazku dekodovani hesel z IRIX64 6.5 na Linuxu:
# ./john 31.08.99.pwd
Loaded 59 passwords with 58 different salts (Standard DES [48/64 4K])
xxxxx (yyyyyy)
xxxxx (yyyyyy)
xxxxx (yyyyyy)
Na miste 'x' byl username a na miste 'y' bylo heslo....
Program pomerne znamy:
John the Ripper Version 1.6 Copyright (c) 1996-98 by Solar Designer
Tak co jde to?
Karel
Další informace o konferenci Linux