apache-mod_auth_pam

Pon, 25 Cze 2001, 18:40:12 CEST

On Mon, Jun 25, 2001 at 06:20:53PM +0200, Michal Moskal wrote:
> Czy takiej binarki nie mozna uzyc do masowego krakowania hasel?
> To znaczy nawet, jesli ona czeka, powiedzmy kilka sekund przy
> negatywnej odpowiedzi, to mozna takich binarek sto na raz zapuscic,
> i skrocic sobie w ten sposob oczekiwanie. Z drugiej strony blokowanie
> dostepu do niej, po ilus tam nieudanych probach tez nie jest
> najlepsze, bo sie moze httpd zatkac, jesli ktos po drugiej stronie
> podaje upoczywie bledne hasla... Mozna by ograniczyc korzystanie
> z niej do jakiejs grupy (to chyba wiecej niz wskazane...),
> ale wtedy mozna by chyba napisac taki passwd kraker jako cgi...
równie skuteczne jest łamanie haseł przy pomocy telnetowania się na
port telneta/ssh/popa/imapa/czegokolwiek i zgadywania kolejnych haseł -
po wszystkich takich próbach zostają ślady w logach, tak samo jak przy
zwykłym logowaniu.

-- 
Sebastian Zagrodzki			s.zagrodzki w mimuw.edu.pl
UIN 1770835				http://sokrates.mimuw.edu.pl/~zagrodzki

A co mnie obchodzi, co pomyślą inni...