encfs y contraseñas

2

Observo que encfs no puede montar un sistema de archivos cuando se ingresa una contraseña incorrecta.

Sin embargo, esta capacidad de detectar si una contraseña es correcta o incorrecta puede permitir que se realicen ataques de fuerza bruta.

¿Hay alguna forma de deshabilitar la comprobación de la contraseña en encfs?

Me doy cuenta de que esto tendrá algunos inconvenientes, como fallas silenciosas cuando un usuario genuino ingresa una contraseña incorrecta. Sin embargo, esto podría ser mitigado por el usuario mediante un script personalizado. Por ejemplo, un script que monta encfs y luego hace un cat mountPoint/welcomeMessage.txt . El usuario sabría por la salida si el montaje fue exitoso o no. Creo que esto es mucho más seguro porque los ataques de fuerza bruta no son posibles sin un conocimiento previo del contenido de welcomeMessage.txt.

Si no es posible deshabilitar la comprobación de contraseñas en encfs, ¿es una vulnerabilidad ?

    
pregunta HRJ 30.04.2014 - 05:53
fuente

1 respuesta

1

A menos que esté almacenando datos completamente aleatorios dentro de los archivos protegidos por encfs, un atacante debería poder ver fácilmente si los archivos son razonables cuando se descifran. Por lo tanto, una comprobación temprana no debilita mucho las defensas y hace que el producto sea mucho más fácil de usar.

    
respondido por el Douglas Leeder 30.04.2014 - 15:09
fuente

Lea otras preguntas en las etiquetas