home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 1080.PASSWORD.DOC < prev    next >
Text File  |  1988-08-06  |  3KB  |  84 lines

  1.  
  2.  
  3.   Sysop passwords for the MailBox.
  4.  
  5.   Designed by Geert Jan de Groot, PE1HZG, Eindhoven, Holland
  6.  
  7.  
  8.  
  9.   Remote sysop is a nice way to split the work involveld with managing a
  10.   BBS among several people. However, in the past, some crooks used the
  11.   calls of some (remote) sysops and erased all files...
  12.   I added a netrom-like verification procedure to check if a remote
  13.   sysop is really who he says he is.
  14.  
  15.   The procedure is as follows:
  16.  
  17.   Each 'trusted person' has his own personal key, which consists of
  18.   an array of 10 by 10 random letters and numbers, like this:
  19.  
  20.  
  21.   Key for: PE1HZG
  22.  
  23.       01234 56789
  24.     0 tBixT 03ytR
  25.    10 9yD6s HfC0c
  26.    20 ze28q 70nL4
  27.    30 7OczX 1fEdW
  28.    40 6R8BU cao07
  29.    50 OWJ1m lTo2q
  30.    60 XLHGl NCDdF
  31.    70 2wXUO rjwDL
  32.    80 uh7P4 fsYiO
  33.    90 mQPjY zXxAM
  34.  
  35.  
  36.   On the @ command, the BBS gives 3 lines of 8 numbers, like this:
  37.  
  38.   2354 - L#4912 - PI8ZAA-BBS > @      (user gives sysop command)
  39.   2 55 26 46 24 52 79 77          (BBS verification )
  40.   41 23 94 23 86 56 54 23
  41.   75 69 3 97 77 49 64 38
  42.   il0aqJLw                  (user response to 1st line)
  43.   N#182 - L#4912 - PI8ZAA-BBS >       (succes - sysop prompt)
  44.  
  45.  
  46.   A remote sysop translates ONE (just random, first, second or third) line
  47.   into the matching characters using his personal key. Which line matches,
  48.   does not matter.
  49.  
  50.   If the sent response-string matches, the user is who he says he is and goes
  51.   to remote sysop status. If not, nothing happens.
  52.   Bad guys who monitor the BBS, see an answer to 3 possible questions, and
  53.   don't know what line matches the response string, so they can't re-build
  54.   the key matrix owned by the remote sysop. This, of course, only works
  55.   if remote sysops randomly pick the first, second or third line to translate.
  56.  
  57.   (However, using statistics, people can deduce the original key if they
  58.   have enough data. Crypt wizards say it may take 100 sessions before
  59.   such an attempt may be succesful. If you go sysop 1 time a day
  60.   at most, and change keys every 2 months, they should not be able to
  61.   get sysop status.. time will tell!)
  62.  
  63.   In the BBS, there is a file called KEYS.MB which has records of this
  64.   format:
  65.  
  66.   PE1HZG
  67.   tBixT03ytR9yD6sHfC0cze28q70nL47OczX1fEdW6R8BUcao07 (continue at next line)
  68.   OWJ1mlTo2qXLHGlNCDdF2wXUOrjwDLuh7P4fsYiOmQPjYzXxAM
  69.  
  70.  
  71.   Each remote sysop has his own entry in the keys.mb file, and should have
  72.   different keys. At PI8ZAA, the actual keys are generated by machine,
  73.   a small basic program will do the trick.
  74.   Of course, NOBODY should EVER consider downloading the KEYS.MB on air!
  75.   If a person with a unknown call tries to get sysop status, simply
  76.   NO response-string matches. I did this because it was easier and
  77.   maybe it keeps the bad guys puzzled..
  78.  
  79.  
  80.   Note that the port definition in CONFIG.MB must have the "R" privilege
  81.   set for remote sysop to be allowed at all, and must have the "P"
  82.   privilege set to require passwords.
  83.  
  84.