Linux acpeta más de una contraseña
Marcos Ramirez A.
mramireza en armada.cl
Jue Feb 16 11:19:54 CLST 2006
On Thu, 2006-02-16 at 10:46 -0300, Luis Eduardo Vivero Peña wrote:
> El jue, 16-02-2006 a las 10:29 -0300, Marcos Ramirez A. escribió:
> > On Thu, 2006-02-16 at 09:08 -0300, Rodrigo Ruiz Fuentes wrote:
> > > Srs, me acabo de dar cuenta de lo siguiente:
> > > mi contraseña es 'passwd' por ejemplo, la autenticación es verdadera o
> > > positiva si trato de ingresar al sistema con contraseña 'passwd&$·*' ó
> > > 'passwd_hola', o cualquier cosa que tenga como prefijo la contraseña
> > > correcta !
> >
> > Para resolver el problema, basta con que configures tu sistema para usar
> > MD5, que no tiene esa limitacion.
>
> Mmm pero no fue que a MD5 se le encontraron fallas de seguridad hace
> tiempo atras?
Fallas de seguridad, no. Encontraron que era posible generar colisiones
en un tiempo razonable de calculo con SHA-0, SHA-1 y MD5, entre otros.
Aqui nos salimos de la pregunta original, pero tienes razon, es mas que
teoricamente posible generar colisiones usando un ataque de fuerza bruta
teniendo solo el hash para verificar. Lo que tambien pasa con crypt y de
hecho se requiere menos recursos de cpu/memoria.
> Que en el fondo no es tan robusto como Crypt?
Todo depende del algoritmo de hashing que estes usando. Hasta no hace
mucho SHA/MD5 eran considerados seguros y ahora se recomienda
SHA-256/512 como tal.
Si SHA-256/512 pueden ser quebrados es algo que aun queda por demostrar.
Saludos
--
Marcos Ramirez A. <mramireza en armada.cl>
Más información sobre la lista de distribución Linux