Nop, yo en el e-Verano les hice una mini-demo de claves
"super-seguras". Le puse a un telefono de clave 1234, capture un
REGISTER con sipdump (que tiene el texto del desafio y la respuesta) y
sipcrack tardó menos de 1 segundo en decirme la clave (haciendo ataque
con diccionario).
No soy un expero, pero aunque no esta la contraseña, esta todo lo que
necesitas saber... o eso creo.
El 16/08/07, Antonio Pardo <antonio.pardo(a)gmail.com> escribió:
El Thursday 16 August 2007 10:16:49 Iñaki Baz Castillo
escribió:
El Tuesday 14 August 2007 16:42:01 Javier Allende
Astigarraga escribió:
> Como puedo mejorar la seguridad en el momento de registrarse?? ya he
> comprobado que con http digest puedo obtener la contraseña
¿Qué es lo que has comprobado? ¿Has mirado cómo
funciona el http-digest? Lo
que se envía NO es la contraseña, es la respuesta a un desafío en el que el
emisor (el servidor) y el desafiado (el llamante) comparten un secreto (la
contraseña del llamante). En ningún caso se envía la contraseña en texto
plano ni nada similar.
Pero no es imposible sacar la contraseña a partir del hash, ¿no?
Ciao
--
http://debaser.homelinux.com/
_______________________________________________
Users-es mailing list
Users-es(a)openser.org
http://openser.org/cgi-bin/mailman/listinfo/users-es
--
Saúl -- "Some people say why, other just say, why not."
----------------------------------------------------------------
http://www.saghul.net/