Hallo,
ich habe heute einen Account in einem Linux-CIP-Pool der Uni bekommen. Und beim 'rumspielen ist mir die Kinnlade fast auf den Tisch gefallen: per ypcat passwd bekomme ich doch glatt mehr als 400 DES-verschlüßelte Passwörter.
Anständig wie ich bin (oder versuche zu sein *g*) habe ich den Admins gleich mal eine Mail geschrieben dass ich das für eine Sicherheitslücke halte. Daraufhin kam die Antwort: Die Passwörter werden auf blowfish umgestellt. Und wer beim ypcat/ypmatch erwischt wird braucht eine sehr gute Erklärung.
*sigh*
Mir persönlich fällt es nicht leicht das so hinzunehmen, ich halte Sicherheit in einem Multi-User-System für ziemlich wichtig. Wie soll ich den Admins (zwei sind es) beibringen dass ich das einfach nur unmöglich finde (bei blowfisch gibts immer noch die Möglichkeit einer Brute-Force-Attacke, ist halt rechnerisch aufwändiger), ohne ihenen allzu sehr vor den Kopf zu stossen? Ich muss mit denen noch länger zusammenarbeiten.
Ratlose und sprachlose Grüße,
Moritz
P.S. ich hab schon daran gedacht den CIP zum cracken der Passwörter zu benutzen - 40 Dual-Core Prozessoren sind was feines. Ich befürchte nur das ist zu dreist und fällt recht schnell auf…