Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Hallo Jan,
Jan Kesten <debian-lists@the-hidden-realm.de> wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Malte Spiess wrote:
>
> | Bei adduser ist es aber so: (Ich gebe als Passwort immer "a"
> | ein.)
>
> Hallo, Malte!
>
> Gerade mal etwas getestet, als root kannst Du trotz der cracklib
> kurze und unsichere Passwörter vergeben, aber root sollte wissen was
> er tut (wie so üblich):
Ja, klar, das macht Sinn!
> - -- SNIP --
>
> teefix:/usr/sbin# adduser test
> Adding user test...
> Adding new group test (1022).
> Adding new user test (1022) with group test.
> Home directory /home/test already exists. Not copying from /etc/skel
> New UNIX password:
> BAD PASSWORD: it's WAY too short
> Retype new UNIX password:
> passwd: password updated successfully
> Changing the user information for test
> Enter the new value, or press ENTER for the default
> ~ Full Name []:
> ~ Room Number []:
> ~ Work Phone []:
> ~ Home Phone []:
> ~ Other []:
> Is the information correct? [y/N] y
> teefix:/usr/sbin# su - test
> test@teefix:~$ passwd
> Changing password for test
> (current) UNIX password:
> New UNIX password:
> BAD PASSWORD: it's WAY too short
> New UNIX password:
> BAD PASSWORD: it's WAY too short
> New UNIX password:
> BAD PASSWORD: it's WAY too short
> passwd: Authentication token manipulation error
> test@teefix:~$
>
> - -- SNIP --
>
> Wenn ich als root adduser ausführe, dann kann ich meinem Nutzer
> 'test' dennoch das Passwort 'a' zuweisen und ich bekomme lediglich
> die Warnung.
>
> Aber wenn ich mich als Nutzer 'test' einlogge (oder mich mal dazu
> mache), kann ich es nicht mehr - dort versagt passwd dann die
> Dienste wenn ich unsichere Passwörter vergeben will (weil mir das
> sichere was ich verwenden soll nicht passt).
Ach so, vielen Dank für die Infos!
Gruß
Malte
Reply to: