El proveedor SIP almacena las credenciales, ¿se requiere para algunos teléfonos SIP?

Navega tus respuestas
3

Mi proveedor de SIP almacena mi contraseña de tiempo de llamada SIP como AES cifrada en lugar de hash. Entiendo que la autenticación SIP tiene la capacidad de NO almacenar la contraseña y, en su lugar, almacenar un hash precalculado 'string1'. 

string HA1=MD5(username:realm:password)

y luego durante la autenticación calcular. 

HA2=MD5(method:digestURI)

response=MD5(HA1:nonce:HA2)

Consulte Autenticación de acceso de resumen

El proveedor, sin embargo, dice que algunos clientes hacen que sea imposible calcular la cadena HA1 porque el valor del reino cambia.

  • ¿Es de hecho una práctica común almacenar una contraseña de tiempo de llamada SIP encriptada?
  • Pensé que el servidor SIP determina el reino. ¿Hay configuraciones de servidor SIP que no puedan predecir / determinar el reino para el tiempo de llamada más adelante?
pregunta Dick99999 22.11.2014 - 11:06
fuente

1 respuesta

1

Por lo general, tiene un reino constante y, en este caso, HA1=MD5(username:realm:password) podría almacenarse en lugar de la contraseña. Pero, si la contraseña solo se usa para la cuenta SIP, en realidad no importa si en un ataque contra el nombre de usuario y contraseña del proveedor se confisca o HA1 en su lugar, porque esto último es todo lo que necesita para autenticarse como usuario. El método de almacenamiento solo importa si la cuenta se usa para otras cosas o si la contraseña se usa para otras cuentas.

    
respondido por el Steffen Ullrich 22.11.2014 - 13:54
fuente

Lea otras preguntas en las etiquetas

Habilitando ActiveX sin firmar Detección XSS basada en DOM principal usando python