Supongamos que su universidad tiene un servidor ldap centralizado utilizado para autenticar a todos los estudiantes, profesores y personal de todos los servicios prestados por la universidad (correo electrónico, exámenes, impuestos ...) Supongamos que en el laboratorio de computación es posible para cada usuario autenticado para emitir un ldapsearch y obtener todos los datos de todas las personas en la universidad: estudiantes, profesores, técnicos ... Supongamos que los datos también contienen los campos: sambaLMPassword y sambaNTPassword con la contraseña cifrada de cada persona.
Ahora suponga que está un poco preocupado (usted es un profesor y piensa que tal vez los estudiantes podrían descifrar el sistema y robar las contraseñas), por lo que habla con el personal técnico de la universidad y dicen algo en las siguientes líneas:
- sabemos esto desde hace mucho tiempo, pero los hash de contraseña son necesarios para algún servicio antiguo que debemos mantener;
- de todos modos, las contraseñas están encriptadas y es ilegal forzarlas;
- y nuestros estudiantes no son tan inteligentes para comprender que pueden obtenerlos y descifrarlos;
- sin embargo, por favor, mantenga este secreto.
¿Te tranquilizarán las respuestas? ¿Qué harías a continuación?