forum.opennet.ru

"Раздел полезных советов: Подключение виртуальной базы пользо..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Подключение виртуальной базы пользователей к Dovecot с CRAM-..."	+/–
Сообщение от Гайбруш Трипвуд (?), 16-Ноя-09, 11:22
Посмотрим на такой алгоритм аутентификации имени меня. - сервер посылает случайное число challenge - клиент вычисляет некое x = H1(challenge, H2(password)), H1 и H2 - криптохеш-функции и посылает на сервер. - сервер делает то же самое, только с хранящимся на сервере паролем и сравнивает Видно, что это некий абстрактный cram-md5. Так вот, хитрющий довекот хранит у себя dovecot_hash=H2(password), чтобы не вычислять его каждый раз. Если файл с хешами попадет к нехорошему человеку, он при аутентификации сможет вычислить x = H1(challenge, dovecot_hash) и авторизоваться. > а теперь вопрос - зная хеш пароля куда я его буду пихат ????????????? Я уже говорил, что нужно посмотреть, что именно довекот может вычислить без знания challenge (т.е. H2), и тогда можно будет определить формулу для злоумышленника.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Подключение виртуальной базы пользо..., auto_tips, 12-Ноя-09, 14:53 [смотреть все]

Такое хеширование имеет немного смысла, потому что знания этого хеша достаточно , Гайбруш Трипвуд, 12-Ноя-09, 14:53 (1) //
- уважаемый читаем как работает крам аутентификациядавно уже перешёл на хранения в, Sw00p aka jerom, 13-Ноя-09, 10:07 (2) //
  - Я знаю, как работает cram-md5, поэтому и запостил, чтобы у читателей не возникал, Гайбруш Трипвуд, 13-Ноя-09, 11:04 (3) //
    - уважаемый плохо читали значить я хряню в базе не плаин текстовые пароли а захеши, Sw00p aka jerom, 13-Ноя-09, 15:49 (4)
      - Non-plaintext authentication mechanismsSee Authentication Mechanisms for explana, Sw00p aka jerom, 13-Ноя-09, 16:01 (5)
        
        Документация ввела вас в заблуждение Еще раз повторяю знания довекотовского cr, Гайбруш Трипвуд, 13-Ноя-09, 17:02 (6)
        
        схему в студию как вы будете зная хеш на стороне сервера проходить авторизациюпс, Sw00p aka Jerom, 14-Ноя-09, 14:38 (7)
        
        Тред вы не дочитали, они там разобрались Попробуем уйти в детали CRAM-MD5 работа, Гайбруш Трипвуд, 14-Ноя-09, 16:17 (9)
        
        описанный вами алгоритм он производится на стороне серверадовкот посылает челенд, Sw00p aka Jerom, 16-Ноя-09, 10:45 (10)
        
        вот ещё функция реализации hmac_md5 challenge, password function hmac_md5 data, Sw00p aka Jerom, 16-Ноя-09, 11:05 (11)
        Посмотрим на такой алгоритм аутентификации имени меня - сервер посылает случайно , Гайбруш Трипвуд, 16-Ноя-09, 11:22 (12)
        
        а вы попробуйте реализовать этот алгоритм dovecot_hash H2 password а потом сдела, Sw00p aka Jerom, 16-Ноя-09, 12:16 (13)
        
        а на счёт брутфорсеров - то всё можно пробрутфорситьно при этом есть варианты бр, Sw00p aka Jerom, 14-Ноя-09, 14:45 (8)
  - Да это уже проходили любой CRAM принципиально требует наличия не зашифрованного , fi, 17-Ноя-09, 20:11 (14) //
    - мда не знал что у меня в базе плаинтекстовые пассы хранятьсякапча 30005, Sw00p aka Jerom, 18-Ноя-09, 10:04 (15)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру