¿Qué tan segura es su contraseña en LDAP?

Question

¿Su contraseña es más segura de alguna manera si está almacenada en LDAP en lugar de una base de datos o un archivo cifrado?

Answer 1

Con LDAP, la contraseña se verifica en el servidor. No es mucho más seguro por diseño. Pero hay muchas soluciones de SSO que usan LDAP, por lo que hay una gran base de usuarios.

Answer 2

Las contraseñas son tan seguras como el vínculo más débil entre el usuario y la ubicación donde se almacena la contraseña. Básicamente, esto significa que no solo se debe proteger la contraseña, sino también las líneas de conexión entre el usuario y el almacenamiento. Cuando el servidor y las comunicaciones son seguros, el enlace más débil a menudo resulta ser el usuario. (Debido a que los usuarios a veces tienen la capacidad de memoria de una roca mascota)

Un colega mío perdió su computadora portátil y estaba bastante preocupado de que el ladrón tuviera acceso a todas las cosas secretas de su sistema. Resultó que había adjuntado una pequeña nota en su computadora portátil con su contraseña. Y desafortunadamente, él no es la única persona en este mundo que solo escribe contraseñas en una nota al lado de su computadora.

Answer 3

LDAP es un protocolo de comunicación, la forma en que se almacena la contraseña depende mucho del sistema de directorio. Ver NTLM user authentication in Windows para lo que Windows hace, por ejemplo.

La contraseña de LAN Manager es compatible con compatible con la contraseña que es utilizado por LAN Manager. Esta contraseña es basada en el juego de caracteres del fabricante del equipo original (OEM). Esta contraseña de no distingue entre mayúsculas y minúsculas y puede tener un máximo de 14 caracteres . La versión OWF de esta contraseña también se conoce como como LAN Manager OWF o ESTD . Esta contraseña se calcula por usando el cifrado DES para encriptar una constante con la contraseña de texto claro. La contraseña de LAN Manager OWF es 16 bytes de longitud. Los primeros 7 bytes de la contraseña de texto sin cifrar se usan para calcular los primeros 8 bytes de la contraseña del Administrador OWF de la LAN . Los segundos 7 bytes de la contraseña de texto sin cifrar son utilizados para computar los segundos 8 bytes de la contraseña de LAN Manager OWF.

La contraseña de Windows se basa en el conjunto de caracteres Unicode . Esta contraseña distingue entre mayúsculas y minúsculas y puede tener hasta 128 caracteres de longitud. La versión OWF de esta contraseña también se conoce como contraseña de Windows OWF. Esta contraseña es calculada mediante el algoritmo de cifrado RSA MD-4 . Este algoritmo calcula un resumen de 16 bytes de una cadena de longitud variable de de texto sin cifrar bytes de contraseña.

No es especialmente super seguro, pero Active Directory generalmente se implementa con bloqueo después de algunos intentos malos, por lo que no está tan mal. En general, cualquier código escrito por un proveedor es mejor que implementar uno propio.

También depende de cómo está almacenando su contraseña en la base de datos y qué políticas se aplican. Almacenar la contraseña simple sin cifrar o sin encriptar es una idea terrible. Normalmente, un sistema de directorio se ocupa de eso. AD, por ejemplo, también podría requerir complejidad de contraseñas y evitar la reutilización de la misma contraseña, etc.Ponerlo en un archivo donde sea accesible para un atacante sería una mala idea.

Answer 4

Siempre que no exponga su contraseña sin cifrar en la red, es tan seguro como almacenar contraseñas hash en bases de datos. Según las implementaciones del servidor LDAP, puede usar muchos tipos diferentes de hash.

OpenLDAP ofrece CRYPT, MD5, SMD5, SSHA y SHA (según mi página man).

En resumen, LDAP le ofrece capacidades de hashing similares a las que tendría al hacer hash las contraseñas usted mismo y almacenarlas en una base de datos SQL.

Answer 5

Las contraseñas se almacenan como cadenas hash en los directorios LDAP. OpenLDAP, por ejemplo, admite los esquemas salados SHA1 {SSHA}, crypt {CRYPT} (dependiente del sistema operativo), MD5 {MD5}, MD5 {SMD5} salado y SHA1 {SHA}. Creo que los servidores de Active Directory almacenan algún tipo de hash LM y/o hash NT.

Dado ese hecho, almacenar una contraseña en un directorio LDAP no es más o menos seguro que almacenar la contraseña hash (asumiendo el mismo hashing) en un archivo o una base de datos SQL. Todos los que tienen acceso directo a la estructura de datos subyacente pueden, al menos, leer el valor de la contraseña hash (si los datos no están encriptados adicionalmente en base a un archivo o sistema de archivos).

La decisión de utilizar LDAP o algún otro tipo de mecanismo de almacenamiento de cuenta seguramente no se basará en el hecho de cuán seguras sean las contraseñas almacenadas. La decisión se basará más bien en cómo se realizará la autenticación y qué otros requisitos debe cumplir. LDAP resulta útil cuando tiene que conectar diferentes clientes a un sistema de autenticación central (por ejemplo, software propietario, servidores de correo electrónico) o si debe integrarlo en algún escenario de autenticación KERBEROS o SASL.