Nada escrito aquí es desconocido para los expertos en informática, solo aquellos que no saben pueden encontrar esto interesante.
Administré servidores UNIX desde 1996. Puedo decirle que el archivo de contraseña (passwd) no necesita contener la contraseña hash. La contraseña debe estar en un archivo de contraseña .secure (no el punto) en un directorio (carpeta para Windows) que sea de lectura / escritura solo para el administrador.
Primer problema, esto requiere, en algunos sistemas operativos, estar configurado. Quien tiene tiempo
- ¿Puede un gobierno central prohibir Bitcoin dentro de su territorio haciendo cumplir que todos los ISP con licencia bloqueen el puerto 8333?
- ¿Dónde está el internet más rápido disponible en la tierra? Cual es la velocidad ¿Cuánto costaría en INR?
- ¿Cuál es el mejor entre estos proveedores de DTH: Airtel, Tata Sky, Videocon, Reliance o Sun Direct?
- ¿Qué harán los proveedores finlandeses de internet móvil ahora que las nuevas regulaciones de la UE están activas?
- ¿A dónde va el dinero que pagamos por los datos al ISP?
El archivo passwd, cuando contiene la contraseña hash, debe ser read-any, write-only-admin, pero aquí también, si el administrador decide que los DBA también deberían tener acceso root (administrador), el DBA probablemente no sepa que existe son comandos especiales para usar para mantener el archivo seguro y hace que el archivo lea / escriba-cualquiera.
Otro problema que surgió con los años. El programador puede “salir” del usuario de la base de datos y acceder a los archivos del sistema. Si la base de datos está instalada por root, entonces la persona que se desglosa tiene privilegios de root.
La contraseña piratea, usa la contraseña encriptada y un programa que ajusta varias reglas para crear una encriptación coincidente. Por ejemplo, en el sistema que estoy usando ahora mi entrada passwd se ve como (una línea):
super: $ 6 $ wMYOjlt6 $ O6CUFZc9Kmel / 2NGfaUMreK1q8UF06wOGFT / 72VaeKDocgay4zvTCXtSm8k767oh0LfrLy4SBwfnSS5K506qv /: 17145: 0: 99999: 7::
El campo entre dos puntos que comienza $ 6 $ debería traducirse a qwerty.
Todo lo que necesita un hacker es poder leer el archivo cifrado, descifrar una contraseña. Hay muchas formas de acceder al archivo. Pero si solo quiere entrar en un sistema, creo que es más fácil llamar al azar a las personas de una empresa y convencerlas de que proporcionen información. Una vez que tenga suficientes nombres y funciones, generalmente puede convencer a alguien para que también proporcione su contraseña.