Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Novo formato de objeto mntner

1) Resumo

Consequente para a comunidade solicitar em dezembro de 2012, o AFRINIC whois banco de dados não exibirá mais hashes de senhas criptografadas MD5 e CRYPT em todos os mntner (whois banco de dados) objetos.

Atualmente, a maioria dos objetos no AFRINIC whois Os bancos de dados são protegidos e autenticados por meio de um mecanismo que usa senhas de texto não criptografado criptografadas com o algoritmo md5 para autenticação. Existem duas preocupações principais com este método:

  • A senha do hash md5 é tradicionalmente visível em todos os objetos do mntner. Isso o torna vulnerável a crackers, uma vez que os computadores hoje em dia possuem um poder de processamento mais do que suficiente para remover essas senhas em um tempo relativamente curto.
  • Ao executar um whois atualização do banco de dados, senhas em texto simples são anexadas aos objetos a serem atualizados e enviados por e-mail para o whois base de dados. Isso introduz a possibilidade de a senha ser detectada no caso de não haver forma de criptografia entre o remetente, o destinatário e seus agentes de transferência de email de retransmissão.

AFRINIC habilitou um filtro no whois banco de dados tal que whois as consultas não exibem esses hashes novamente. Isso reduz a possibilidade de qualquer pessoa executar um script ou programa simples que irá quebrar essas senhas, pois elas não são mais visíveis.

 

2) Atualização de objetos no whois banco de dados

Existem basicamente dois cenários a serem considerados:

  • Modificando um mntner existente whois objeto de banco de dados, que já possui os filtros de hash aplicados. 
  • Autenticar em um objeto mantenedor para atualizar seu objeto protegido e, criar, modificar ou excluir objetos filhos protegidos pelo mnt-lower ou (mnt-domains) do objeto pai.

2.1) Modificando um objeto mntner

O processo para criar um novo objeto mntner permanece completamente inalterado. No entanto, uma vez criado, modificar e excluir um mntner existente requer que o proprietário do objeto tenha acesso ao hash md5 e / ou CRYPT que foi usado para criar o mntner em primeiro lugar, se as modificações envolverem outros atributos.

Portanto, é importante que o hash seja mantido pelo proprietário do objeto para recuperação futura ao atualizar objetos mntner existentes. Abaixo estão exemplos de objetos mntner, mostrando o hash não filtrado anteriormente no objeto superior e o novo formato no objeto inferior, mostrando os hashes filtrados.

Abaixo estão exemplos de objetos mntner, mostrando o hash não filtrado anteriormente no objeto superior e o novo formato no objeto inferior, mostrando os hashes filtrados.

whois md5

Para modificar um mntner existente:

a) Consulte o AFRINIC whois banco de dados do seu objeto, adicione o hash ao resultado e envie-o ao servidor para atualização, da seguinte maneira:

whois md5_2

  • Acesse https://afrinic.net/en/services/whois-query
  • Digite seu objeto no formulário de pesquisa com a opção "-B" prefixada, de forma que os atributos contendo endereços de e-mail não sejam filtrados (uma medida padrão para combater a coleta de e-mail).
  • A mesma pesquisa baseada na web pode ser usada pelos amantes da linha de comando digitando o seguinte (usando um Unix ou Linux whois cliente): whois –h whois.afrinic.net –r –B ISP1-MNT
  • Copie o objeto no corpo de um novo email.
  • Substitua o texto "#FILTERED" pelo hash MD5 previamente armazenado, adicione um atributo de senha cujo valor é sua senha de texto não criptografado e envie o objeto por e-mail para auto-dbm@afrinic.net. 

b) Se o e-mail retornado pelo servidor indicar que a atualização falhou, existe a possibilidade de o hash estar errado (nesse caso, um erro de sintaxe aparecerá na devolução) ou a senha em texto simples não estava correta (isso irá ser mostrado como um erro de autenticação)

c) Caso você não consiga recuperar seu hash md5 (mas saiba sua senha em texto simples que foi usada para gerar o hash), é possível simplesmente gere novamente um novo hash com a mesma senha.

Por favor, navegue até o "Ferramentas"seção de nosso site, selecione a ferramenta de senha CRYPT / MD5, digite sua senha em texto simples e clique em" Gerar ".

whois md5_3

 

O hash gerado pode ser copiado e colado no seu objeto mntner e enviado para atualização como de costume.

d) Caso sua senha seja perdida (independente da disponibilidade do hash md5), não é possível atualizar o objeto. Você deve entrar em contato com a AFRINIC para o processo padrão de senha perdida de administrador, simplesmente enviando hostmaster@afrinic.net com um pedido de uma nova senha. Observe que:

  • Seu e-mail deve conter um hash md5 de sua senha preferida (nova) gerada pela etapa (c) acima. 
  • A solicitação de alteração de senha deve vir de um contato autorizado. Se houver mudança de contatos, solicitaremos uma carta oficial assinada por um executivo sênior de sua organização detalhando os novos contatos. 

3) Usando autenticação PGP (em vez de md5 e CRYPT-PW)

 

Além do MD5, o AFRINIC whois banco de dados suporta PGP para autenticação whois atualizações do banco de dados. Em contraste com MD5, PGP fornece técnicas de criptografia mais fortes e garante que a mensagem de atualização assinada não foi violada. Funciona a partir de um par de chaves geradas pelo usuário. A chave pública é enviada para o whois banco de dados dentro de um objeto de certificado de chave, e as atualizações de email do usuário são assinadas usando a chave privada no dispositivo do usuário.

Já que a maioria whois as atualizações da base de dados são enviadas por e-mail, a única forma de garantir a segurança é usando PGP, que a AFRINIC recomenda fortemente aos nossos membros e à comunidade. 

Isso porque, com o método MD5, as atualizações enviadas por e-mail são autenticadas pelo usuário inserindo uma senha em texto não criptografado no corpo do e-mail. Apesar de usar tecnologias como SSL e TLS, a AFRINIC não tem controle sobre todas as etapas pelas quais um e-mail passa antes da entrega final ao nosso whois servidor.

 

Combinando diferentes mecanismos de autenticação

 

A whois o banco de dados suporta o uso de vários mecanismos de autorização em um objeto mntner. Se um objeto for protegido por um mntner que contém várias senhas md5 e chaves PGP, qualquer uma das senhas corretas ou e-mails assinados por PGP serão autenticados. O objeto mntner capturado abaixo contém dois atributos "auth" para os mecanismos de autenticação md5 e PGP. Qualquer um dos atributos pode ser usado para autorizar atualizações.

mntner:    TOTO-MNT
descr:     Maintainer Toto telecom
admin-c:   ABC1-AFRINIC
tech-c:    DEF1-AFRINIC
upd-to:    abc@afrinic.net
mnt-nfy:   def@afrinic.net
auth:      MD5-PW $1$09nxAH88$ZaDWuXGdly2boQi69atbN.
auth:      PGPKEY-476A541E
mnt-by:    TOTO-MNT
changed:   hostmaster@afrinic.net
source:    AFRINIC


4) Perguntas frequentes: Hashes MD5 filtrados

  1. Por que o AFRINIC decidiu ocultar o hash MD5? 
    Porque alguém pode quebrá-lo usando qualquer computador ou até smartphone. Escondê-lo impede que os crackers tentem todos os tipos de coisas em seu hash.

  2. Posso atualizar um objeto mntner sem inserir o hash md5?
    Não. Você deve substituir a string "FILTERED" no atributo auth pelo hash criptografado real, caso contrário, a atualização falhará.

  3. Eu esqueci meu hash MD5.
    Se você se lembrar da senha em texto simples, use nosso md5 criptografado online gerador de senha. Um hash diferente da mesma senha será gerado, o qual pode ser usado para atualizar (mas não excluir) o objeto

  4. Eu sei minha senha de texto sem formatação. Como posso obter meu hash md5?
    Usando nosso criptografado on-line gerador de senha. Observe que o hash sempre será diferente, pois é gerado com base em um carimbo de data / hora.

  5. MD5 parece inseguro. Existem outras opções? 
    Você pode usar PGP, o que envolve o uso de um par de chaves. Mais informações sobre como usar PGP com o AFRINIC whois banco de dados pode ser encontrada aqui.

  6. Esqueci a minha senha. Você pode redefini-lo? 
    Use o gerador de hash md5 online para criar um hash de sua nova senha e envie esse hash para hostmaster@afrinic.net. Você deve ser o contato autorizado de sua empresa. 

  7. Ainda posso criar atribuições de clientes sem conhecer o hash? 
    Sim. Tudo que você precisa é enviar essas atribuições junto com uma senha de texto simples para o whois base de dados. Você pode até usar MYAFRINIC por isso.

  8. O rDNS ainda funciona como antes?
     Sim. Todos os outros objetos, bem como whois os procedimentos de atualização do banco de dados permanecem inalterados. Apenas objetos mntner são afetados, no sentido de que você precisa ter esse hash à mão sempre que precisar editar seu mntner (o que não é muito comum).

  9. Como faço para usar PGP com o AFRINIC whois banco de dados? 
    Tendo gerado seus pares de chaves PGP, exporte sua chave pública para o whois banco de dados usando um objeto key-cert. Em seguida, assine todas as atualizações do seu banco de dados usando sua chave privada. Por favor, procure aqui para mais informações.

  10. Posso usar a criptografia PGP e MD5 simultaneamente?
    Sim. Qualquer um dos mecanismos autenticados funcionará se especificado em um determinado objeto mntner.

  11. Como posso obter ajuda adicional? 
    Por favor envie afrinic-dbm@afrinic.net por qualquer assistência com o AFRINIC whois banco de dados ou ligue para +230 403 5104. Você também pode usar o Skype para nos ligar gratuitamente no usuário regular do Skype "skype2afrinic".