Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Nouveau format d'objet mntner

1) Résumé

Conséquent à la communauté demandez en décembre 2012, l'AFRINIC whois La base de données n'affichera plus les hachages des mots de passe cryptés MD5 et CRYPT dans tous les mntner (whois base de données).

Actuellement, la majorité des objets de l'AFRINIC whois base de données sont protégées et authentifiées par un mécanisme qui utilise des mots de passe en texte clair chiffrés avec l'algorithme md5 pour l'authentification. Il y a deux problèmes majeurs avec cette méthode:

  • Le mot de passe haché md5 est traditionnellement visible dans tous les objets mntner. Cela le rend vulnérable aux crackers, étant donné que les ordinateurs sont aujourd'hui équipés d'une puissance de traitement plus que suffisante pour déchaîner ces mots de passe en un temps relativement court.
  • Lors de l'exécution d'un whois mise à jour de la base de données, des mots de passe en texte brut sont attachés aux objets à mettre à jour et envoyés par e-mail au whois base de données. Cela introduit la possibilité de renifler le mot de passe au cas où il n'y aurait aucune forme de cryptage entre l'expéditeur, le destinataire et leurs agents de transfert de courrier.

AFRINIC a activé un filtre dans le whois base de données telle que whois les requêtes n'afficheront plus ces hachages. Cela atténue le potentiel pour quiconque d'exécuter un script ou un programme simple qui déchiffrera ces mots de passe, car ils ne sont plus visibles.

 

2) Mise à jour des objets dans le whois base de données

Il existe essentiellement deux scénarios à considérer:

  • Modifier un mntner existant whois objet de base de données, auquel les filtres de hachage sont déjà appliqués. 
  • Authentification par rapport à un objet responsable pour mettre à jour son objet protégé et création, modification ou suppression d'objets enfants protégés par mnt-lower ou (mnt-domain) de l'objet parent.

2.1) Modifier un objet mntner

Le processus de création d'un nouvel objet mntner reste complètement inchangé. Cependant, une fois créé, la modification et la suppression d'un mntner existant nécessitent que le propriétaire de l'objet ait accès au hachage md5 et / ou CRYPT qui a été utilisé pour créer le mntner en premier lieu si les modifications impliquent d'autres attributs.

Il est donc important que le hachage soit conservé par le propriétaire de l'objet pour une récupération future lors de la mise à jour des objets mntner existants. Vous trouverez ci-dessous des exemples d'objets mntner, montrant le hachage précédemment non filtré dans l'objet du haut, et le nouveau format dans l'objet du bas, montrant les hachages filtrés.

Vous trouverez ci-dessous des exemples d'objets mntner, montrant le hachage précédemment non filtré dans l'objet du haut, et le nouveau format dans l'objet du bas, montrant les hachages filtrés.

whois md5

Pour modifier un mntner existant:

a) Interrogez l'AFRINIC whois base de données de votre objet, ajoutez le hachage au résultat et envoyez-le au serveur pour mise à jour, comme suit:

whois md5_2

  • Cliquez sur https://afrinic.net/en/services/whois-query
  • Tapez votre objet dans le formulaire de recherche avec l'option "-B" en préfixe, de sorte que les attributs contenant des adresses e-mail ne soient pas filtrés (une mesure par défaut pour lutter contre la collecte d'e-mails).
  • La même recherche basée sur le Web peut être utilisée par les amateurs de ligne de commande en tapant ce qui suit (en utilisant un Unix ou Linux whois client): whois –h whois.afrinic.net –r –B ISP1-MNT
  • Copiez l'objet dans le corps d'un nouvel e-mail.
  • Remplacez le texte "#FILTERED" par votre hachage MD5 précédemment stocké, ajoutez un attribut de mot de passe dont la valeur est votre mot de passe en texte clair et soumettez l'objet par e-mail à auto-dbm@afrinic.net. 

b) Si l'e-mail renvoyé par le serveur indique que la mise à jour a échoué, il est possible que le hachage soit erroné (auquel cas une erreur de syntaxe apparaîtra dans le rebond) ou que le mot de passe en texte clair n'était pas correct (ce sera être affiché comme une erreur d'authentification)

c) Dans le cas où vous ne pouvez pas récupérer votre hachage md5 (mais connaissez votre mot de passe en texte brut qui a été utilisé pour générer le hachage), il est possible de régénérez simplement un nouveau hachage du même mot de passe.

Veuillez parcourir le "Outils»de notre site Web, sélectionnez l'outil CRYPT / MD5 Password, entrez votre mot de passe en texte brut et cliquez sur« Générer ».

whois md5_3

 

Le hachage généré peut être copié et collé dans votre objet mntner et soumis pour mise à jour comme d'habitude.

d) Si votre mot de passe est perdu (indépendamment de la disponibilité du hachage md5), il n'est pas possible de mettre à jour l'objet. Vous devez contacter AFRINIC pour le processus standard de mot de passe perdu mntner, par simple mailing hôte@afrinic.net avec une demande de nouveau mot de passe. Veuillez noter que:

  • Votre e-mail doit contenir un hachage md5 de votre (nouveau) mot de passe préféré généré à l'étape (c) ci-dessus. 
  • La demande de changement de mot de passe doit provenir d'un contact autorisé. En cas de changement de contacts, nous demanderons une lettre officielle signée à un cadre supérieur de votre organisation détaillant les nouveaux contacts. 

3) Utilisation de l'authentification PGP (au lieu de md5 et CRYPT-PW)

 

En plus du MD5, l'AFRINIC whois la base de données prend en charge PGP pour l'authentification whois mises à jour de la base de données. Contrairement à MD5, PGP fournit des techniques de chiffrement plus solides et garantit que le message de mise à jour signé n'a pas été falsifié. Cela fonctionne en utilisant une paire de clés générées par l'utilisateur. La clé publique est téléchargée sur le whois base de données à l'intérieur d'un objet de certificat de clé, et les mises à jour par courrier électronique de l'utilisateur sont signées à l'aide de la clé privée sur l'appareil de l'utilisateur.

Depuis la plupart whois les mises à jour de la base de données sont envoyées par e-mail, le seul moyen de garantir la sécurité est d'utiliser PGP, ce qu'AFRINIC recommande vivement à nos membres et à la communauté. 

En effet, avec la méthode MD5, les mises à jour soumises par e-mail sont authentifiées par l'utilisateur insérant un mot de passe en texte clair dans le corps de l'e-mail. Malgré l'utilisation de technologies telles que SSL et TLS, AFRINIC n'a aucun contrôle sur toutes les étapes qu'un e-mail passe avant la livraison finale à notre whois serveur.

 

Combiner différents mécanismes d'authentification

 

Le whois La base de données prend en charge l'utilisation de plusieurs mécanismes d'autorisation dans un seul objet mntner. Si un objet est protégé par un mntner contenant plusieurs mots de passe md5 et clés PGP, l'un des mots de passe corrects ou des e-mails signés PGP s'authentifiera. L'objet mntner capturé ci-dessous contient deux attributs "auth" pour les mécanismes d'authentification md5 et PGP. L'un ou l'autre des attributs peut être utilisé pour autoriser les mises à jour.

mntner:    TOTO-MNT
descr:     Maintainer Toto telecom
admin-c:   ABC1-AFRINIC
tech-c:    DEF1-AFRINIC
upd-to:    abc@afrinic.net
mnt-nfy:   def@afrinic.net
auth:      MD5-PW $1$09nxAH88$ZaDWuXGdly2boQi69atbN.
auth:      PGPKEY-476A541E
mnt-by:    TOTO-MNT
changed:   hostmaster@afrinic.net
source:    AFRINIC

4) FAQ: hachages MD5 filtrés

  1. Pourquoi AFRINIC a-t-il décidé de cacher le hachage MD5? 
    Parce que quelqu'un peut le casser avec n'importe quel ordinateur ou même smartphone. Le masquer dissuade les crackers d'essayer toutes sortes de choses sur votre hachage.

  2. Puis-je mettre à jour un objet mntner sans insérer le hachage md5?
    Non. Vous devez remplacer la chaîne "FILTERED" dans l'attribut auth par le hachage chiffré réel, sinon la mise à jour échouera.

  3. J'ai oublié mon hachage md5.
    Si vous vous souvenez plutôt du mot de passe en texte brut, veuillez utiliser notre crypté md5 en ligne générateur de mot de passe. Un hachage différent du même mot de passe sera généré qui peut être utilisé pour mettre à jour (mais pas supprimer) l'objet

  4. Je connais mon mot de passe en texte brut. Comment obtenir mon hachage md5?
    En utilisant notre crypté en ligne générateur de mot de passe. Veuillez noter que le hachage sera toujours différent, car il est généré sur la base d'un horodatage.

  5. MD5 semble peu sûr. Y a-t-il d'autres options? 
    Vous pouvez utiliser PGP, ce qui implique l'utilisation d'une paire de clés. Plus d'informations sur l'utilisation de PGP avec l'AFRINIC whois base de données peuvent être trouvés ici.

  6. J'ai oublié mon mot de passe. Pouvez-vous le réinitialiser? 
    Veuillez utiliser le générateur de hachage md5 en ligne pour créer un hachage de votre nouveau mot de passe et soumettre ce hachage à hostmaster@afrinic.net. Vous devez être le contact autorisé de votre entreprise. 

  7. Puis-je toujours créer des affectations client sans connaître le hachage? 
    Oui. Tout ce dont vous avez besoin est de soumettre ces affectations avec un mot de passe en texte clair au whois base de données. Vous pouvez même utiliser MYAFRINIC pour ça.

  8. Le rDNS fonctionne-t-il toujours comme avant?
     Oui. Tous les autres objets ainsi que whois les procédures de mise à jour de la base de données restent inchangées. Seuls les objets mntner sont affectés, en ce sens que vous devez avoir ce hachage à portée de main chaque fois que vous devez éditer votre mntner (ce qui n'est pas très courant).

  9. Comment utiliser PGP avec l'AFRINIC whois base de données? 
    Après avoir généré vos paires de clés PGP, exportez votre clé publique dans le whois base de données utilisant un objet clé-cert. Ensuite, signez toutes les mises à jour de votre base de données à l'aide de votre clé privée. S'il vous plaît regardez ici pour plus d'informations.

  10. Puis-je utiliser simultanément le chiffrement PGP et MD5?
     Oui. L'un ou l'autre des mécanismes authentifiés fonctionnera s'il est spécifié dans un objet mntner donné.

  11. Comment puis-je obtenir de l'aide supplémentaire? 
    S'il vous plaît mail afrinic-dbm@afrinic.net pour toute assistance auprès de l'AFRINIC whois base de données ou appelez +230 403 5104. Vous pouvez également utiliser Skype pour nous appeler gratuitement sur l'utilisateur Skype régulier "skype2afrinic".