Как безопаснее авторизовать внешнего SIP-абонента: по IP-адресу или по логин-паролю?

по логину и паролю. Так как при желании IP можно и подделать, а вот sip user/pass надо знать, без него никак (используется digest-md5 аутентификация).

вообшето мд5 мона тоже поломать..
но адрес проше.
по теме: лучше и того и того и побольше;)
вообше самый надежный астрисковский метод - аторизация rsa в iax2

И как это ты собрался ломать md5? По базам искать? Да только там еще nonce есть, забыл?

неа, полным перебором с использованием cuda с видеокартами.. короче мона уже на даном етапе) вопрос только в стоимости

Да, md5 слабенькая защита, особенно если пароль короткий. Ставьте пароль не меньше 12 символов и взлом обычными средствами будет затруднён.

Парни, о чем вы говорите? Текст, по которому берется md5, постоянно меняется. Он не состоит из одного пароля юзера. Так что никакой перебор тут не поможет. На практике не реально. В теории, за короткий интервал времени можно имея случайный nonce и результат перебрать пароль, но таких мощностей еще нет.

Ну да, естественно не состоит из одного пароля и каждый раз поэтому ответ авторизуемой стороны меняется. Но единственной неизвестной частью хэшируемой строки (она состоит из nonce, реалма и пароля) является пароль.

Перебор поможет, проверено.

Игорь, brute force нормальный пароль в md5 не ломает, устанет, так сказать...
md5 типа в базах ищут, в которых "слепки" всех фраз.
Однако, когда фраза динамически генерится, ни в какой базе "слепка" быть не может.

Перебор поможет, проверено.

И кто же проверял и как?

Сам проверял, собственноручно. Ну то есть конечно утилитами пользовался, тестировал их. Как постараюсь описать у себя, сделать обзор утилит проверки безопасности VoIP сетей.

Я просто это к тому, что пароли нужно использовать длиннее, не стоит полагаться на полную надёжность digest авторизации (конечно если сигнализация не в TLS ходит).