Quanto sono sicure le password impostate tramite IRC / nickserv?

Naviga le tue risposte
5

Ho appena registrato un nickname su IRC e ho dovuto usare una password per registrarlo. Dato che ho usato IRC, ma non ho mai capito la meccanica del P2P, mi piacerebbe sapere:

  • La password che ho registrato con Nickserv è stata hash e replicata su tutti gli altri nodi della rete IRC?

  • C'è un sale per quella password? (che cos'è?)

  • Qualcuno può diventare un peer in IRC e vedere la versione hash della mia password?

  • Se nessuna delle precedenti condizioni è valida e Nickserv viene eseguito a livello centrale, chi lo esegue?

  • Di quali altri rischi dovrei essere a conoscenza?

posta random65537 13.12.2012 - 16:05
fonte

2 risposte

4

Posso parlare solo per l'UnrealIRCd che ho aiutato a correre molti anni fa, ma ci provo:

  • NickServ è un bot di servizio in esecuzione su un singolo nodo. Si connette a tutti i nodi in modo da poter comunicare con esso senza che la password in chiaro ricorra alla replica. In quanto tale, la tua password è solo su un server.
  • Per impostazione predefinita, le password NickServ vengono sottoposte a hash con MD5, senza sale. Avevamo una mod che usava il tuo indirizzo e-mail come un sale, ma non aspettarti molto sulla maggior parte dei server IRC.
  • I server peer di una rete IRC sono collegati in una rete privata, che richiede una password e una configurazione comune per collegarli tra loro. Non puoi semplicemente avviare il tuo server e diventare parte della rete senza gli amministratori di rete che lo configurano.

Per quanto riguarda i rischi:

  • Alcuni server utilizzano la registrazione di nick alternativo (ad esempio disabilita NickServ e crea un bot con lo stesso nome) in modo che gli schemi personalizzati siano interamente possibili. Questa potrebbe essere una buona cosa, o una cosa negativa. Dipende dall'implementazione, che è probabilmente una scatola nera.
  • Il traffico IRC non è crittografato o autenticato per impostazione predefinita. È tuttavia possibile configurare SSL su IRCd e client. Consiglio vivamente di farlo. La rete dovrebbe utilizzare SSL per la replica da server a server.
  • Nelle reti precedenti, a volte vedrai bot come X per l'autenticazione con nick. Alcuni utenti fanno /nick NickServ per catturare i tentativi di autenticazione. Assicurati di leggere il MOTD e altri documenti prima di provare ad autenticarti.
risposta data 13.12.2012 - 16:15
fonte
2

Come IRCop semi-corrente, non conterei troppo sulla sicurezza delle password. IRC è un protocollo dai bei vecchi tempi di Internet quando la sicurezza non era molto importante. Se non si utilizza SSL per la connessione al server, verrà inviato in chiaro. Una configurazione di servizi decente dovrebbe limitare il numero di server che devono avere accesso alle informazioni ei nodi canaglia non possono semplicemente collegarsi, ma la sicurezza è in genere un ripensamento per la maggior parte dei sistemi legacy su Internet e l'IRC non fa eccezione.

    
risposta data 13.12.2012 - 16:20
fonte

Leggi altre domande sui tag

Come posso abusare delle informazioni dell'enumerazione dei servizi DCE? Perché alcune porte sono segnalate come chiuse da nmap?