[Users-es] Re: HttpDigest no seguro
Saúl Ibarra
saghul at gmail.com
Thu Aug 16 16:59:40 CEST 2007
Muy buena la explicación :P
Lo cierto es que normalmente las contraseñas las suelen poner
demasiado "fáciles", pero la seguridad va en contra de la "usabilidad"
(o eso es lo que el usuario entiende.)
El 16/08/07, David Santamaria <david at irontec.com> escribió:
> Aupa,
> Saúl Ibarra escribió:
> > Nop, yo en el e-Verano les hice una mini-demo de claves
> > "super-seguras". Le puse a un telefono de clave 1234, capture un
> > REGISTER con sipdump (que tiene el texto del desafio y la respuesta) y
> > sipcrack tardó menos de 1 segundo en decirme la clave (haciendo ataque
> > con diccionario).
> >
> > No soy un expero, pero aunque no esta la contraseña, esta todo lo que
> > necesitas saber... o eso creo.
> >
> La contraseña efectivamente no va ahi, pero no es tan sencillo el asunto.
> (Espero ser lo menos impreciso posible, aunque se aceptaran todas las
> correcciones de los RFC readers que hay por aquí :P)
> En el mecanismo de desafió/respuesta, lo que el Registar envía al UA es
> un desafió que incluye entre otras cosas una marca de tiempo para que el
> desafió tenga un periodo de caducidad, el UA al recibir ese reto une su
> contraseña a ese reto y la "hashea"normalmente con MD5 (el cual tiene
> colisiones, al igual que todos los mecanismos de HASH) y eso conforma la
> respuesta al reto que es o que sera enviado (con lo cual, la contraseña
> nunca viaja a través de la red, en un mecanismo de registro o en un
> invite). En todo caso, ese hash (respuesta) llega al registar y es el
> que conociendo el reto y la contraseña aplica el mismo mecanismo que el
> cliente para crear la respuesta y si su respuesta y la del cliente
> coinciden es entonces cuando tomo la autenticación como correcta.
> El SipCrack, lo que hace es lo siguiente, teniendo el reto ,que viene en
> los paquetes sip como "nonce" (creo), saca el hash para cada una de las
> contraseñas que le pasas en el diccionario en uno de los parámetros y la
> compara y cuando una coincide es entonces cuando la da por valida (ojo,
> que no tiene porque ser la contraseña, podría ser una colisión).
> Siento la chapa, y espero no haber metido demasiado la pata, un saludo.
>
>
> --
> David Santamaria
> Irontec: Internet y Sistemas sobre GNU/Linux
> http://www.irontec.com
> +34 944048182
>
>
> _______________________________________________
> Users-es mailing list
> Users-es at openser.org
> http://openser.org/cgi-bin/mailman/listinfo/users-es
>
--
Saúl -- "Some people say why, other just say, why not."
----------------------------------------------------------------
http://www.saghul.net/
More information about the Users-es
mailing list