On Thu, Sep 14, 2006 at 09:53:49AM +0200, Andreas Pakulat wrote: > Doch, waere auch ziemlich unguenstig wenn bei der Angabe von test als PW > jedesmal ein anderer Hashwert am Ende rauskommt. Dann koennte man sich > naemlich nicht mehr einloggen, denn login vergleicht den berechneten > Hashwert mit dem der gespeichert ist und laesst dich nur bei > Uebereinstimmung rein. Wirf mal einen Blick in die Sourcen von passwd. Da sieht man das zur Erzeugung des Hash auch die Uhrzeit verwendet wird. => Der Hash-Wert in /etc/shadow ist bei crypt, trotz gleichem Login und Password, jedes mal verschieden. Die Überprüfung des Passwort sieht folgendermaßen aus: epasswd = crypt(passwd, pw->pw_passwd); if (strcmp(epasswd, pw->pw_passwd)) { return (UPAP_AUTHNAK); } Es wird also das eingegebene Passwort mit dem gespeicherten Hash des vorhandenen Passwort "verschlüsselt". Anschließend wird das Resultat dieser "Verschlüsselung" mit dem dem gespeicherten Hash des vorhandenen Password verglichen. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht!
Attachment:
pgpTwvSkc2H07.pgp
Description: PGP signature