Algoritmi password

Come si è potuto vedere, nella parte inerente le configurazioni del router Cisco 827, si è fatto uso di password sia per accedere alle varie modalità del router che per configurare l'accesso ad un ISP. Ora vedremo la differenza e gli usi tra i vari algoritmi utilizzati: password 5 e password 7.

La enable password 7 utilizza un algoritmo proprietario cisco per criptare, in realtà molto debole, fatto giusto per evitare che qualcun'altro, durante l'utilizzo del comando show conf, possa vedere le password in chiaro. Avendo a disposizione la stringa di una password 7 si decripta in pochi secondi.

La enable secret 5, invece, utilizza il ben piu' complesso, ed anche one-way, algoritmo MD5 per criptare. Immettendo la password, essa viene criptata, e salvata nella configurazione, da quel momento e' indecifrabile poiche' con MD5 è impossibile risalire alla stringa in chiaro a partire da quella criptata. Quando si immette, per esempio, da telnet la password al router esso la cripta con MD5 e verifica se quella criptata salvata e quella criptata ora coincidono. Se accade che le due password criptate coincidono, significa che è stata immessa la password corretta.

Come si è già visto in precedenza, le modalità di accesso al provider attraverso il protocollo ppp sono:

L'idea di tutti e due i protocolli è quella che il router che effettua la chiamata invii all'altro router un identificativo (username) e una password, in modo da permettere il riconoscimento.

La differenza maggiore tra i due protocolli (che rende CHAP quello preferibile da usare) è che il PAP trasmette username e password in chiaro sulla linea, mentre il CHAP utilizza il protocollo di encryption MD5 (Message Digest 5) per scambiare le informazioni.

il router chiamante effettua la chiamata;
il router chiamato "chiede" al router chiamante di inviargli username e password, insieme alla richiesta invia un numero casuale (challenge);
il router chiamante effettua una funzione (hash) fra lo username, la password e il numero casuale ricevuto, ottenendo una stringa criptata che invia al router chiamato;
il router chiamato effettua la stessa operazione, per verificare che il chiamante sia autorizzato alla connessione, cha a questo punto viene stabilita.

L'unico modo per ricavare una password in MD5 è per tentativi, brute force, cioe' prendere un vocabolario, e criptare in MD5 ogni singola parola, fino a che non si trova quella che criptata produce la stessa stringa; un procedimento lungo e fastidioso.

Ci sono programmi, come john the ripper (www.openwall.com) che fanno questa operazione di brute forcing di password in MD5. Questo programma e' nato per forzare le password dei sistemi unix, che venivano criptate con tale metodo.

ALGORITMI PASSWORD