OTRS + AD. Хранение паролей

Question

[Денис Минаев]

в конторе хотят внедрить OTRS. Одно из основных требований интеграция с AD.
Залез в базу данных OTRS. Нашёл в таблице users связки login и pw
Возникает нескромный вопрос: — "В каком виде OTRS хранит пароли (хэши паролей)"?
Не будет ли OTRS дырой в безопасности.
Ломать AD это одно, а вот веб-сервер с OTRS совсем другое.

Comments

[Денис Минаев]

Меня интересует возможность вытащить все пароли (хэши паролей) пользователей из его базы.
Имея прямой доступ к базе данных и кодам программы, не имея прямого доступа к серверу.
Насколько стойкий алгоритм хэширования?
От этого зависит насколько опасным является сервис и какие меры защиты к нему применять.

[Денис Минаев]

OTRS уже настроена и работает. Проходит обкатку.
Стали запускать живых пользователей тут и всплыл вопрос безопасности.

[Almaz_Ilyasov]

Вы смогли узнать алгоритм хэширования? Мне надо настроить авторизацию на стороннем сайте через базу OTRS

Answer 1

[Dal]

Зачем он их хранит? Он же с авторизацией в АД полезет.

Comments

[Денис Минаев]

Для слазить в AD у него есть служебный аккаунт с правами «лазить в AD».
Меня интересует возможность вытащить все пароли (хэши паролей) пользователей из его базы.
От этого зависит насколько опасным является сервис и какие меры защиты к нему применять.

Answer 2

[Vorchun]

Гляньте, может получите ответы:

habrahabr.ru/post/125089/

otrs.ru/forum/viewtopic.php?f=6&t=31

Comments

[Денис Минаев]

И какое отношение эти ссылки имеют к вопросу безопасности?
OTRS настроен и работает.
Вопрос такой:
Имея прямой доступ к коду программы и базе данных,
могу я вытащить пароли пользователей от домена?
Найти в коде программы механизм хэширования и сделать обратное преобразование.
Вдруг там MD5 без соли.

[Vorchun]

n000b, сорри, второпях среагировал на

Одно из основных требований интеграция с AD.

Подумалось ищите как скрестить.