[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Malte Spiess wrote:

| Bei adduser ist es aber so: (Ich gebe als Passwort immer "a"
| ein.)

Hallo, Malte!

Gerade mal etwas getestet, als root kannst Du trotz der cracklib
kurze und unsichere Passwörter vergeben, aber root sollte wissen was
er tut (wie so üblich):

- -- SNIP --

teefix:/usr/sbin# adduser test
Adding user test...
Adding new group test (1022).
Adding new user test (1022) with group test.
Home directory /home/test already exists.  Not copying from /etc/skel
New UNIX password:
BAD PASSWORD: it's WAY too short
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for test
Enter the new value, or press ENTER for the default
~        Full Name []:
~        Room Number []:
~        Work Phone []:
~        Home Phone []:
~        Other []:
Is the information correct? [y/N] y
teefix:/usr/sbin# su - test
test@teefix:~$ passwd
Changing password for test
(current) UNIX password:
New UNIX password:
BAD PASSWORD: it's WAY too short
New UNIX password:
BAD PASSWORD: it's WAY too short
New UNIX password:
BAD PASSWORD: it's WAY too short
passwd: Authentication token manipulation error
test@teefix:~$

- -- SNIP --

Wenn ich als root adduser ausführe, dann kann ich meinem Nutzer
'test' dennoch das Passwort 'a' zuweisen und ich bekomme lediglich
die Warnung.

Aber wenn ich mich als Nutzer 'test' einlogge (oder mich mal dazu
mache), kann ich es nicht mehr - dort versagt passwd dann die
Dienste wenn ich unsichere Passwörter vergeben will (weil mir das
sichere was ich verwenden soll nicht passt).

HTH,
Jan
- --
GPG-KeyID: 82201FC4
Available at my public sks keyserver sks.nerdcamp.net
Please report any problems using sks.nerdcamp.net!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFBNbQ6vvmCkIIgH8QRAkcEAJ4hmi4xR3TLmarcRapuD5E6ejV4twCgorF5
jj6ebZsodz1fg5uKT+oTtz0=
=NgxC
-----END PGP SIGNATURE-----



Reply to: