Il provider SIP memorizza le credenziali, è necessario per alcuni telefoni SIP?

Naviga le tue risposte
3

Il mio provider SIP memorizza la mia password del tempo di chiamata SIP come AES crittografato al posto dell'hash. Comprendo che l'autenticazione SIP ha la capacità di NON memorizzare la password e, al contrario, memorizzare un hash "stringa1" precalcolato. 

string HA1=MD5(username:realm:password)

e quindi durante il calcolo dell'autenticazione. 

HA2=MD5(method:digestURI)

response=MD5(HA1:nonce:HA2)

Vedi Autenticazione dell'accesso al digest

Il provider, tuttavia, afferma che alcuni client rendono impossibile calcolare la stringa HA1 perché il valore del dominio cambia.

  • È prassi comune archiviare una password per il tempo di chiamata SIP crittografata?
  • Ho pensato che il server SIP determinasse il regno. Ci sono in effetti impostazioni del server SIP che non possono prevedere / determinare il regno per il tempo di chiamata in seguito?
posta Dick99999 22.11.2014 - 11:06
fonte

1 risposta

1

Di solito hai un dominio costante e in questo caso HA1=MD5(username:realm:password) potrebbe essere memorizzato al posto della password. Ma, se la password viene utilizzata solo per l'account SIP, in realtà non importa se all'interno di un attacco il nome utente e la password del provider vengono invece sequestrati o HA1, perché quest'ultimo è tutto ciò di cui ha bisogno per l'autenticazione come utente. Il metodo di archiviazione conta solo se l'account viene utilizzato per altre cose o se la password viene utilizzata per altri account.

    
risposta data 22.11.2014 - 13:54
fonte

Leggi altre domande sui tag

Approcci chiave di stretching È sicuro utilizzare più volte un token CSRF?