12/09/2013, 11:49
Bonjour à tous,
Suite à des recherches.. Je suis tomber sur des informations à propos de la sécurité concernant le userfile de eggdrop.
Il est possible de craqués les mots de passe grace/a cause de http://passwords.openwall.net/unix-crypt
J'ai fait un teste, chez moi il tente ~ 4645K mot de passe par secondes et ça fonctionne.
Je trouve sa énorme.
Afin d’éviter ce problème, il est possible de modifier sa manière d'encrypter les mots de passe.
Editez src/mod/blowfish.mod/blowfish.c
Aller vers la ligne 264
Modifier les valeurs de SALT1, SALT2 en mettant d'autre valeur HEXadecimal.
Tout comme indiquer, il est évident que si modifier ces valeurs, il faut le faire sur tout les eggdrops qui sont en botnet.
Suite à des recherches.. Je suis tomber sur des informations à propos de la sécurité concernant le userfile de eggdrop.
Il est possible de craqués les mots de passe grace/a cause de http://passwords.openwall.net/unix-crypt
J'ai fait un teste, chez moi il tente ~ 4645K mot de passe par secondes et ça fonctionne.
Je trouve sa énorme.
Afin d’éviter ce problème, il est possible de modifier sa manière d'encrypter les mots de passe.
Editez src/mod/blowfish.mod/blowfish.c
Aller vers la ligne 264
Citation :/* Of course, if you change either of these, then your userfile will
* no longer be able to be shared.
*/
#define SALT1 0xdeadd061
#define SALT2 0x23f6b095
/* Convert 64-bit encrypted password to text for userfile */
static char *base64 =
"./0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
Modifier les valeurs de SALT1, SALT2 en mettant d'autre valeur HEXadecimal.
Tout comme indiquer, il est évident que si modifier ces valeurs, il faut le faire sur tout les eggdrops qui sont en botnet.