[Users-es] Re: HttpDigest no seguro
Lukas Sky
lukassky at gmail.com
Thu Aug 16 18:17:34 CEST 2007
El jue, 16-08-2007 a las 18:06 +0200, Jesus Rodriguez escribió:
> Hola David,
>
>
> >> Nop, yo en el e-Verano les hice una mini-demo de claves
> >> "super-seguras". Le puse a un telefono de clave 1234, capture un
> >> REGISTER con sipdump (que tiene el texto del desafio y la
> >> respuesta) y
> >> sipcrack tardó menos de 1 segundo en decirme la clave (haciendo
> >> ataque
> >> con diccionario).
> >>
> >> No soy un expero, pero aunque no esta la contraseña, esta todo lo que
> >> necesitas saber... o eso creo.
> >>
> > La contraseña efectivamente no va ahi, pero no es tan sencillo el
> > asunto.
> > (Espero ser lo menos impreciso posible, aunque se aceptaran todas
> > las correcciones de los RFC readers que hay por aquí :P)
> > En el mecanismo de desafió/respuesta, lo que el Registar envía al
> > UA es un desafió que incluye entre otras cosas una marca de tiempo
> > para que el desafió tenga un periodo de caducidad, el UA al recibir
> > ese reto une su contraseña a ese reto y la "hashea"normalmente con
> > MD5 (el cual tiene colisiones, al igual que todos los mecanismos de
> > HASH) y eso conforma la respuesta al reto que es o que sera enviado
> > (con lo cual, la contraseña nunca viaja a través de la red, en un
> > mecanismo de registro o en un invite). En todo caso, ese hash
> > (respuesta) llega al registar y es el que conociendo el reto y la
> > contraseña aplica el mismo mecanismo que el cliente para crear la
> > respuesta y si su respuesta y la del cliente coinciden es entonces
> > cuando tomo la autenticación como correcta.
>
>
> Genial y, sobre todo, sencilla explicación! :-)
Será pa ti...pq yo no me enteré de nada XD
>
>
> Saludos
> JesusR.
>
> ------------------------------------
> Jesus Rodriguez
> VozTelecom Sistemas, S.L.
> jesusr at voztele.com
> http://www.voztele.com
> Tel. 902360305
> -------------------------------------
>
>
>
>
>
> _______________________________________________
> Users-es mailing list
> Users-es at openser.org
> http://openser.org/cgi-bin/mailman/listinfo/users-es
More information about the Users-es
mailing list