En los últimos días se ha detectado un problema que ha afectado por igual tanto a Antergos como a Manjaro, y es que los instaladores de ambas distribuciones han estado generando contraseñas cifradas débiles para los usuarios, abriendo de esta manera la puerta a posibles ataques mediante fuerza bruta (probar combinaciones de contraseñas hasta hallar la correcta).
Se ha detectado en Manjaro y Antergos que sus instaladores usan un “sal” (o salt) predecible, permitiendo que se pueda llevar a cabo con éxito ataques mediante fuerza bruta si un atacante obtiene el hash de las contraseñas y averigua el valor sal empleado. Las contraseñas “hasheadas” son almacenadas por defecto en el fichero /etc/shadow, por lo que la única manera que tiene el atacante de obtenerlas es accediendo como root en el sistema.
El problema es más serio de lo que puede aparentar, ya que un valor predecible significa que las contraseñas en diferentes instalaciones han podido ser “hasheadas” con el mismo sal. Si un atacante obtiene los hash de las contraseñas de varias instalaciones, podría usar el sal predecible para construir una tabla con las posibles contraseñas.
http://www.muylinux.com/2017/06/27/instaladores-manjaro-antergos-contrasenas-debiles
#Ñ #seguridad #gnu #Linux #gnulinux #gnu-linux
Bobinas P4G is a social network. It runs on GNU social, version 2.0.1-beta0, available under the GNU Affero General Public License.
All Bobinas P4G content and data are available under the Creative Commons Attribution 3.0 license.