Nop, yo en el e-Verano les hice una mini-demo de claves "super-seguras". Le puse a un telefono de clave 1234, capture un REGISTER con sipdump (que tiene el texto del desafio y la respuesta) y sipcrack tardó menos de 1 segundo en decirme la clave (haciendo ataque con diccionario).
No soy un expero, pero aunque no esta la contraseña, esta todo lo que necesitas saber... o eso creo.
El 16/08/07, Antonio Pardo antonio.pardo@gmail.com escribió:
El Thursday 16 August 2007 10:16:49 Iñaki Baz Castillo escribió:
El Tuesday 14 August 2007 16:42:01 Javier Allende Astigarraga escribió:
Como puedo mejorar la seguridad en el momento de registrarse?? ya he comprobado que con http digest puedo obtener la contraseña
¿Qué es lo que has comprobado? ¿Has mirado cómo funciona el http-digest? Lo que se envía NO es la contraseña, es la respuesta a un desafío en el que el emisor (el servidor) y el desafiado (el llamante) comparten un secreto (la contraseña del llamante). En ningún caso se envía la contraseña en texto plano ni nada similar.
Pero no es imposible sacar la contraseña a partir del hash, ¿no?
Ciao
-- http://debaser.homelinux.com/
Users-es mailing list Users-es@openser.org http://openser.org/cgi-bin/mailman/listinfo/users-es