On Thu, Sep 14, 2006 at 09:53:49AM +0200, Andreas Pakulat wrote:
> Doch, waere auch ziemlich unguenstig wenn bei der Angabe von test als PW
> jedesmal ein anderer Hashwert am Ende rauskommt. Dann koennte man sich
> naemlich nicht mehr einloggen, denn login vergleicht den berechneten
> Hashwert mit dem der gespeichert ist und laesst dich nur bei
> Uebereinstimmung rein.
Wirf mal einen Blick in die Sourcen von passwd. Da sieht man das zur
Erzeugung des Hash auch die Uhrzeit verwendet wird.
=> Der Hash-Wert in /etc/shadow ist bei crypt, trotz gleichem Login
und Password, jedes mal verschieden.
Die Überprüfung des Passwort sieht folgendermaßen aus:
epasswd = crypt(passwd, pw->pw_passwd);
if (strcmp(epasswd, pw->pw_passwd)) {
return (UPAP_AUTHNAK);
}
Es wird also das eingegebene Passwort mit dem gespeicherten Hash des
vorhandenen Passwort "verschlüsselt". Anschließend wird das Resultat
dieser "Verschlüsselung" mit dem dem gespeicherten Hash des
vorhandenen Password verglichen.
--
Nicht Absicht unterstellen, wenn auch Dummheit ausreicht!
Attachment:
pgpTwvSkc2H07.pgp
Description: PGP signature