ist mein Passwort unsicher?
Hallo alle, also ich habe da so ein Problemchen... Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben. Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler? MfG Roman --
<> http://www.ec-jugend.de || http://www.thehope.de <><
Am Fre, 19 Jul 2002 schrieb Roman Langolf:
Hallo alle,
also ich habe da so ein Problemchen...
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
Passwörter mit Folgenummer sind eigentlich immer unsicher, da das wohl jedes Crack-Programm draufhat und Du so eigentlich nur die Nutzlänge des Passwortes einschränkst. Aber der Grund für das von Dir beschriebene Verhalten ist der, daß defaultmäßig Passwörter auf Deiner Kiste nur 8 Zeichen lang sein dürfen, das heißt der Rest wird ignoriert, schon bei der Festlegung des Passworts. Liegt AFAIK daran, daß crypt, der verwendete Verschlüsselungsalgorithmus, nur mit 8 Zeichen umgehen kann. Man kann aber auf md5 umstellen, damit sind auch längere Passwörter möglich. Geht IIRC sogar mit Yast einzustellen. Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Hallo, nein, das ist kein Fehler! Es werden nur die ersten acht Zeichen ausgewertet. Joerg
-----Ursprüngliche Nachricht----- Von: Roman Langolf [mailto:langolf@gmx.net] Gesendet: Freitag, 19. Juli 2002 16:00 An: suse-linux@suse.com Betreff: ist mein Passwort unsicher?
Hallo alle,
also ich habe da so ein Problemchen...
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
MfG Roman
--
<> http://www.ec-jugend.de || http://www.thehope.de <><
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
On Freitag 19. Juli 2002 15:59, Roman Langolf wrote:
Hallo alle,
also ich habe da so ein Problemchen...
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
Nö. Soviel ich weiss sind die Passwords auf 8 Buchstaben limitiert. Mag möglich sein mehr zu haben mit einer rekompilierten glibc, neuren Version oder irgendetwas anderes. Gerd
MfG Roman
-- Gerd-Christian Michalke gmichalk@freegates.be \\_// +32 497/44.57.27 (. .) Do you Linux ? --------------------------------------oOOo-oOOo----------------------
Hallo alle,
also ich habe da so ein Problemchen...
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-(
Verblueffend, echt????!!!!???!
Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Probier mal weiter!!!! Ich teste es auch gerade bin schon xxxxxx1277389540, geht immer noch. Ich glaub wir sind da 'em riesen Bug auf der Spur!!!!! Regards ... ...heio
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
MfG Roman
--
<> http://www.ec-jugend.de || http://www.thehope.de <><
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
From: Roman Langolf [mailto:langolf@gmx.net]
Hallo alle,
also ich habe da so ein Problemchen...
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
Hallo Roman, standardmäßig werden nur die ersten 8 Zeichen verwendet, was Du danach tippst ist also vollkommen egal. Also wird auch die Sicherheit Deines Passwortes von diesen Zeichen abhängen. Gruß Christian
Am Freitag, 19. Juli 2002 15:59 schrieb Roman Langolf:
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
Hallo, SuSE nimmt, wenn ich mich recht erinnere nur 8 Zeichen. Alle, die darüber hinausgehen, werden ignoriert. Das kann man auch abstellen. Wurde hier diskutiert. Auf gut Deutsch: Google mal wieder! Gruß -- __________________________ Steffen Lauterkorn
Hi, Am Freitag, 19. Juli 2002 16:10 schrieb der_heio@gmx.net: [...]
Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Probier mal weiter!!!! Ich teste es auch gerade bin schon xxxxxx1277389540, geht immer noch. Ich glaub wir sind da 'em riesen Bug auf der Spur!!!!!
*ROFL* ja! Genau, der best dokumentierte Bug aller Zeiten... Das ist kein Bug, sondern ganz normal! Dazu gab's auch schon etliche Threads in der Liste. Und in diesem Thread geistern schon wieder Halbwahrheiten herum. Dass die glibc in irgendeinem Zusammenhang zur Passwortverschlüsselung steht, lese ich z.B. zum ersten Mal *g*. Wenn Du längere Passwörter haben willst, musst Du auf ein anderes Verschlüsselungsverfahren umsteigen. Wo das geht entnimmst Du am besten der Doku zu Deiner Distri oder suchst Dir eine Anleitung im Internet. Du solltest Dir aber auch bewusst sein, dass Du Dir damit eventuell Probleme einfängst, die auch in diversen Threads auf dieser Liste schon angesprochen wurden. Acht Zeichen sind auf einem Unix/Linux-System für ein sicheres Passwort bei entsprechender Auswahl der Zeichen vollkommen ausreichend für ein sicheres Passwort. Gruß Philipp -- registered Linux user number 258854 HOW-TO? -> GOTO http://counter.li.org/
Moin, Christoph Maurer:
Passwörter mit Folgenummer sind eigentlich immer unsicher,
Alles ist relativ. Ich hatte mal versucht, lokal, also ohne übers Netz zu gehen, mit einem entsprechenden Tool das vergessene Passwort eines geschützten ZIP-Archivs herauszufinden. Er fing mit "aaaaaaaaa" an und zählte dann hoch. Als ich Abends von der Arbeit kam, stand vorne immer noch mindestens ein "a", könnten auch mehrere gewesen sein. Ein BruteForce-Angriff, der a-zA-Z0-9 und _-... enthält und auf ein Passwort erfolgt, welches nicht in in einem Wörterbuch zu finden ist, dürfte erfolglos bleiben. Und macht bei einem "normalen" System überhaupt keinen Sinn - zumal der Angreifer immer damit rechnen muß, daß der Rechner einem normalen User gehört, der nach zwei Stunden surfen seine Kiste einfach ausschaltet. Gruß, ratti42 :-) -- http://www.gesindel.de/neu/ | Fontlinge | Die Schriftenverwaltung für LINUX
Hallo Christian, at Fri, 19 Jul 2002 16:12:31 +0200 Christian Herzyk wrote:
From: Roman Langolf [mailto:langolf@gmx.net]
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
standardmäßig werden nur die ersten 8 Zeichen verwendet, was Du danach tippst ist also vollkommen egal.
Kann ich nicht bestätigen. Mein Passwort besteht aus 13 Zeichen. Und wenn ich nach dem 8 Zeichen die Eingabetaste drücke, erhalte ich die Fehlermeldung "Login incorrect". Bye Michael -- The Magic of Windows: Turns a 486 back into a PC/XT. Registered Linux User #228306 ICQ #151172379 http://macbyte.info/ GNU-PG-Key ID 0140F88B
Hallo Roman, * Roman Langolf schrieb am 19.Jul.2002:
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
Nein, das ist der DES-Algorithmus, der verwendet wird. Ein Paßwort wird mit Hilfe des crypt-Bibliotheksfunktion errechnet. Siehe hierzu man crypt. Im dritten Abschnitt der Manpages, stehen die C-Bibliotheksfunktionen, das sind also Funktionen, die in einem C Programm benutzt werden kann, nicht Linux-Funktionene, diese stehen im ersten und achten Abschnitt der man-Pages. Der DES-Algorithmus ist an sich ein symetrischer Algorithmus. Das heißt, wenn man ein Text mit einem Key verschlüsselt, und das Ergebnis wieder mit dem gleichen Key verschlüsselt, dann erhält man den ursprünglichen Text. Nur ist es so, daß crypt das Paßwort als Schlüssel nimmt. Längere Sinnvolle Texte, die mit dem DES-Algorithmus verschlüsselt sind, werden schnell entschlüsselt. Der DES-Algorithmus ist nicht besonders Sicher. Aber das gilt, wie gesagt, für längere sinnvolle Texte. Bei kurzen Paßwörter, die keine Regel unterliegen, ist das anderes. Wenn man ein neues Paßwort generiert, so benutzt man letztendlich den Linux-Befehl /bin/passwd, dieser Befehl benutzt wiederum die Bibliotheksfunktion crypt. crcpt benötigt zwei Argumente: das unverschlüsselte Paßwort und einen Salt. Der Salt wird per Zufallsgenerator erzeugt. crypt verschlüsselt mit Hilfe des Paßwortes und des DES-Algorithmus. Das Ergebnis ist das verschlüsselte Paßwort, das in /etc/shadow geschrieben wird. Für das Paßwort benötigt der DES-Algorithmus 56 Bit. Es werden die ersten acht Zeichen genommen, und von jedem Zeichen die ersten sieben Bit. Das achte Bit wird mithin ignoriert. Ebenso alle Zeichen, die nach einem achten Zeichen kommen. Bei weniger als acht Zeichen wird mit Nullen aufgefüllt. Diese 56 Bit und die zwei Zeichen des Salt werden in 13 Zeichen verwandelt, dabei sind die ersten beiden Zeichen dieser 13 Zeichen der Salt. Nimmt man einen andern Salt, so verändern sich aber nicht nur die ersten beiden Zeichen, sondern, im Allgemeinen, alle 13. Die beiden ersten Zeichen des verschlüsselten Paßworts sind aber immer der Salt. Diese 13 Zeichen und auch der Salt stellen Zahlen zur Basis 64 dar. Es kommen nur die 64 Zeichen : a-zA-Z0-9./ vor. Also 6 Bit pro Zeichen. Der Salt besteht mithin aus 12 Bit und das Ergebnis aus 78 Bit. Es ist nicht möglich, außer brutal force, aus dem verschlüsselten Paßwort wieder das unverschlüsselte zu machen. Wenn man sich einloggt, dann wird das Paßwort, daß man eingibt, wieder mit crypt verschlüsselt. Aber diesmal nimmt man für den Salt keine Zufallszahlen, sondern die ersten beiden Zeichen aus dem verschlüsselten Paßwort, so wie es in der /etc/shadow steht. Wenn das Paßwort richtig war, muß das Ergebnis mit dem Eintrag in der /etc/shadow übereinstimmen. So ist es möglich, daß niergens das Paßwort in Klarschrift abgespeichert ist. Ein Paßwort soll eine Mischung aus Klein- und Großbuchstaben, Zahlen und auch Sonderzeichen sein und acht Zeichen lang sein. Von einer Sortierung, etwa sechs Kleinbuchstaben gefolgt von zwei Zahlen ist dringend abzuraten. Insbesondere wenn, die Buchstaben ein Wort ergeben. Es sind alle ASCII-Zeichen erlaubt, allerdings gibt es Probleme, wenn man CTRL-H, CTRL-M, CTRL-J oder CTRL-S und vielleicht noch einige andere CTRL-Zeichen eingibt. Ersteres ist der Backspace, der von einigen Eingabeprogramme, etwa der Konsole als solcher angesehen wird und die letzte Eingabe löscht, aber nicht als eigenes Zeichen genommen wird. Bei anderem, etwa xterm, ist das anders. Es wurde auf md5 hingewiesen. Nichts gegen einzuwenden, aber wenn man sich nicht gut auskennt, und nicht genau weiß, was man macht, macht man am Ende mehr kaput, als daß man hilft. Bernd -- Bitte die Etikette beachten: http://www.suse-etikette.de.vu/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
At 19:16 19.07.02 +0200, you wrote:
Hi,
Am Freitag, 19. Juli 2002 16:10 schrieb der_heio@gmx.net: [...]
Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Probier mal weiter!!!! Ich teste es auch gerade bin schon xxxxxx1277389540, geht immer noch. Ich glaub wir sind da 'em riesen Bug auf der Spur!!!!!
Das ist kein Bug, sondern ganz normal! Dazu gab's auch schon etliche Threads in der Liste.
Muss man jetzt Ironie extra kennzeichnen??? Vll.: <Ironie>......</Ironie> Regards, Heio
Hallo Heio, at Sat, 20 Jul 2002 12:13:39 +0200 Heio wrote:
Muss man jetzt Ironie extra kennzeichnen??? Vll.: <Ironie>......</Ironie>
Nein, das vielleicht nicht. Aber man sollte seinen Vollständigen Namen in dieser Liste nennen. Bye Michael -- If I wanted Windows, I'd live in a greenhouse! Registered Linux User #228306 ICQ #151172379 http://macbyte.info/ GNU-PG-Key ID 0140F88B
Hi, Am Samstag, 20. Juli 2002 12:13 schrieb Heio:
At 19:16 19.07.02 +0200, you wrote:
Am Freitag, 19. Juli 2002 16:10 schrieb der_heio@gmx.net: [...]
Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Probier mal weiter!!!! Ich teste es auch gerade bin schon xxxxxx1277389540, geht immer noch. Ich glaub wir sind da 'em riesen Bug auf der Spur!!!!!
Das ist kein Bug, sondern ganz normal! Dazu gab's auch schon etliche Threads in der Liste.
Muss man jetzt Ironie extra kennzeichnen??? Vll.: <Ironie>......</Ironie>
Es schadet nicht, denn immerhin kann man in 'ner Mail keine Grimassen sehen und keine Aussprache hören. Jegliche über den Inhalt hinausgehende Information wie Betonungen, Gestik, Mimik, kann man nur über Smileys, lols und Konsorten ausdrücken. Daher sollte man damit nicht zu sparsam umgehen. Du postest nunmal zu wenig als dass ich im Kopf hätte ob Du ein ultimativer Freak bist, der gerade einen Witz reißt, oder ein totaler DAU, der sich anstrengt um sich lächerlich zu machen. Ich stelle garantiert nicht vor jedem Posting, wo ich auf jemanden antworte, eine Recherche über diesen an. Gruß Philipp -- registered Linux user number 258854 HOW-TO? -> GOTO http://counter.li.org/
Am Freitag, 19. Juli 2002 15:59 schrieb Roman Langolf:
Mein Passwort (local auf meiner SuSE7.3) lautet: xxxxxx12 Als ich heute zu fälligerweise xxxxxx123 eigegeben, war ich drin :-( Und xxxxxx12[3-6] funktionierte auch. Weiter habe ich nicht probiert. Übrigens x-er sind die Buchstaben.
Wie in den anderen Antwortmails bereits gesagt wurde, ist dies kein Bug und zweitens gibt es Alternativen zum achstelligen Passwort.
Meine Frage ist nun: Wieso nur??? Ist das ein System Fehler?
Ein 8stelliges PW reicht in der Regel völlig aus. Viel wichtiger ist es, die Angriffsflächen möglichst zu minimieren, daß jemand überhaupt eine PW-Attacke ausführen kann. Dazu zählt zum Beispiel, alle Dienste abzuschalten, die nicht unbedingt erforderlich sind (Telnet, SSH, Apache usw. sind für den durchschnittlichen Privatanwender normalerweise nicht erforderlich). Auf einer SuSE-Standardinstallation sind standardmäßig eine Menge an Ports offen. Ich würde mich also zuerst auf die Runlevelkonfiguration, die /etc/inetd.conf usw. kümmern. Daneben könntest du auch noch den X11-Port schließen (:0 local /usr/X11R6/bin/X :0 vt07 -nolisten tcp in /etc/x11/xdm/Xservers), sofern du die Netzwerkfunktionen von X11 nicht brauchst (die für einen Durchschnittsanwender, der hin und wieder im Netz ist, meist nicht notwendig sind). Dann würde ich mir auch noch die LPD-Konfiguration ansehen, die bei SuSE standardmäßig ziemlich offen gehalten wurde (zumindest bei 7.3). Es gäbe noch eine Vielzahl an anderen Möglichkeiten (Firewall), um dein System präventiv gegen Angriffe abzusichern. Am wichtigsten ist wohl der verantwortungsvolle Umgang und die verantwortungsvolle Wartung eines Systems (Sicherheitspatches einspielen etc.) sowie das Bewußtsein, das jedes System (auch ein gut konfiguriertes Linux) verwundbar ist und keine absolute Sicherheit garantieren kann. grüße, sam
Roman Langolf schrieb:
Hallo alle,
also ich habe da so ein Problemchen...
Vielen Dank für eure schnelle und umfangreiche Antworten, allerdings wusste ich dass SuSE nur 8-Zeichen für Passwörter verwendet aber ich konnte mir nicht vorstellen das die überflüßige Zeichen einfach so ignoriert werden. MfG, Roman --
<> http://www.ec-jugend.de || http://www.thehope.de <><
On Sun, Jul 21, 2002 at 09:31:56 +0200, Roman Langolf wrote:
Roman Langolf schrieb:
also ich habe da so ein Problemchen...
Vielen Dank für eure schnelle und umfangreiche Antworten, allerdings wusste ich dass SuSE nur 8-Zeichen für Passwörter verwendet aber ich konnte mir nicht vorstellen das die überflüßige Zeichen einfach so ignoriert werden.
Das hat sogar einen Vorteil. Mein Passwort lautet beispielsweise auf allen Kundenrechnern "44994499" und wenn jetzt so ein Neugieriger hinter mir steht, gebe ich dahinter noch "wurschtelmaxe" und noch mehr ein, dann weiss ich ganz sicher, dass der, der mich beobachtet, sich ganz sicherlich nichts gemerkt hat. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
On Sun, 21 Jul 2002 at 11:28 (+0200), Peter Blancke wrote:
On Sun, Jul 21, 2002 at 09:31:56 +0200, Roman Langolf wrote:
Roman Langolf schrieb:
also ich habe da so ein Problemchen...
Vielen Dank für eure schnelle und umfangreiche Antworten, allerdings wusste ich dass SuSE nur 8-Zeichen für Passwörter verwendet aber ich konnte mir nicht vorstellen das die überflüßige Zeichen einfach so ignoriert werden.
Das hat sogar einen Vorteil. Mein Passwort lautet beispielsweise auf allen Kundenrechnern "44994499" und wenn jetzt so ein Neugieriger hinter mir steht, gebe ich dahinter noch "wurschtelmaxe" und noch mehr ein, dann weiss ich ganz sicher, dass der, der mich beobachtet, sich ganz sicherlich nichts gemerkt hat.
Was ist, wenn der auch weiß, dass das Paßwort auf 8 Zeichen begrenzt ist. *g* Gruß, Bernhard -- _________ http://www.bwalle.de _________________________________________________ 93 Prozent der Amerikaner wissen, dass Rauchen Lungenkrebs verursacht, aber nur 48 Prozent wissen, dass es ein Jahr dauert, bis die Erde einmal um die Sonne gekreist ist. (Quelle: HSIA-Preprint)
* Peter Blancke schrieb am 21.Jul.2002:
Das hat sogar einen Vorteil. Mein Passwort lautet beispielsweise auf allen Kundenrechnern "44994499" und wenn jetzt so ein Neugieriger
Gut zu wissen. *notier* *SCNR* Bernd -- Umsteiger von Microsoft Windows xx? Hast Du schon file://usr/doc/howto/de/DE-DOS-nach-Linux-HOWTO.txt gelesen? Auch file://usr/doc/Books/Linuxhandbuch.dvi ist zu empfehlen. |Zufallssignatur 1
Am Sonntag, 21. Juli 2002 11:43 schrieb Bernhard Walle:
On Sun, 21 Jul 2002 at 11:28 (+0200), Peter Blancke wrote:
Das hat sogar einen Vorteil. Mein Passwort lautet beispielsweise auf allen Kundenrechnern "44994499" und wenn jetzt so ein Neugieriger hinter mir steht, gebe ich dahinter noch "wurschtelmaxe" und noch mehr ein, dann weiss ich ganz sicher, dass der, der mich beobachtet, sich ganz sicherlich nichts gemerkt hat.
Was ist, wenn der auch weiß, dass das Paßwort auf 8 Zeichen begrenzt ist. *g*
Muß er doch gar nicht wissen, wenn er sich "44994499wurschtelmaxe" merkt, kommt er damit ja auch rein, ob der Wurschtelmaxe nun ignoriert wird oder nicht, macht dann nur noch ein paar Byte Kurzzeitgedächtnis mehr oder weniger aus. PS: Peter ich hoffe doch, dass das nur ein Beispiel war und wir (sowie alle die das Listenarchiv durchstöbern) jetzt nicht tatsächlich bei allen von Dir betreuten Kundenrechnern reinkönnten... Ansonsten würd ich schnellstmögliche Änderung empfehlen! -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
On Sun, Jul 21, 2002 at 12:06:22 +0200, Manfred Tremmel wrote:
Am Sonntag, 21. Juli 2002 11:43 schrieb Bernhard Walle:
On Sun, 21 Jul 2002 at 11:28 (+0200), Peter Blancke wrote:
Das hat sogar einen Vorteil. Mein Passwort lautet beispielsweise auf allen Kundenrechnern "44994499" und wenn jetzt so ein Neugieriger hinter mir steht, gebe ich dahinter noch "wurschtelmaxe" und noch mehr ein, dann weiss ich ganz sicher, dass der, der mich beobachtet, sich ganz sicherlich nichts gemerkt hat.
Was ist, wenn der auch weiß, dass das Paßwort auf 8 Zeichen begrenzt ist. *g*
Na klar, das ist mir schon bewusst. Es ist im Uebrigen immer gefaehrlich, auf die Unwissenheit anderer bauen zu wollen. Als Security-Tipp erster Sahne hat das hoffentlich auch niemand verstanden. Ist aber trotzdem wirkungsvoll - meistens.
Muß er doch gar nicht wissen, wenn er sich "44994499wurschtelmaxe" merkt, kommt er damit ja auch rein, ob der Wurschtelmaxe nun ignoriert wird oder nicht, macht dann nur noch ein paar Byte Kurzzeitgedächtnis mehr oder weniger aus.
Ist aber schon verdammt klasse, wenn ein Unerfahrener bei meiner flinken Tastaturbedienung das sofort erkennt und sich auch noch merken kann.
PS: Peter ich hoffe doch, dass das nur ein Beispiel war und wir (sowie alle die das Listenarchiv durchstöbern) jetzt nicht tatsächlich bei allen von Dir betreuten Kundenrechnern reinkönnten... Ansonsten würd ich schnellstmögliche Änderung empfehlen!
Manfred... Soweit sollte man mich doch kennen ;-)) Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Am Sonntag, 21. Juli 2002 13:13 schrieb Peter Blancke:
Ist aber schon verdammt klasse, wenn ein Unerfahrener bei meiner flinken Tastaturbedienung das sofort erkennt und sich auch noch merken kann.
Naja, wenn Du Tippst wie ein Kollege, der vor nem halben Jahr in Rente ging (hörte sich immer an wie das Rauschen der Blätter im Wind, einzelne Tasten waren nicht zu unterscheiden), ist das vermutlich kein Problem. Wie schnell Du tippst, weiß ich allerdings auch nicht.
Manfred... Soweit sollte man mich doch kennen ;-))
Naja, wir haben doch alle mal miese Tage, da kann sowas dann schon passieren. Wollte ja nur drauf hinweisen, falls da was rausgerutscht ist ;-) -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
On Sunday 21 July 2002 09:31, Roman Langolf wrote:
Roman Langolf schrieb: [...]
also ich habe da so ein Problemchen... [...] Vielen Dank für eure schnelle und umfangreiche Antworten, allerdings wusste ich dass SuSE nur 8-Zeichen für Passwörter verwendet aber ich konnte mir nicht vorstellen das die überflüßige Zeichen einfach so ignoriert werden. [...] Nicht nur SuSE sondern auch die meisten anderen OSe. Solange man ein einigermassen sicheres Passwort und nicht "12345678" oder einfacheres verwendet sollten 8 Zeichen lange Passwörter auch keine sicherheitsrelevanten Probleme bereiten. Von Hochsicherheits- Anforderungen mal abgesehen, aber da werden dann auch keine Passwort gestützen Autentifizierungsverfahren mehr eingesetzt.
Das Problem in Firmen ist, den Mitarbeitern überhaupt nahezubringen ein einigermassen sicheres Passwort zu verwenden und es nicht mit Post-It an den Monitor zu pappen. Du kannst zwar beigehen und die neuen Passwörter auf Sicherheit testen bevor das System sie akzeptiert aber was glaubst Du was passiert wen Kollege Dummbasel einige Male mit Passwörtern wie "oma", "papa", "schatz", "sch-edv", gescheitert ist? Er steht in deiner Administraatorenbude und zetert wie ein Rohrspatz, und du bist an allem Schuld. Solange ein verantwortungsbewusster Umgang mit Passwörtern und der Sicherheit im allgemeinen nicht akzeptiert wird ist alles was du dir als admin so schönes ausgedacht hast vergeudete Liebesmüh. Ich wundere mich immer wieder was die Leute sich so alles einfallen lassen um sich zu drücken die einfachsten Sicherheitsrichtlinien zu befolgen. Als Autofahrer würden die sich vergleichbar in einen PKW setzen der nicht abschliessbar ist und kein Zündschloss besitzt, dazu noch ein Zettel an der Tür, "Fahr mich, ich stehe zur Verfügung und bin Vollgetankt." Tschüss, Thomas
Am Fre, 2002-07-19 um 19.51 schrieb Michael Raab:
Kann ich nicht bestätigen. Mein Passwort besteht aus 13 Zeichen. Und wenn ich nach dem 8 Zeichen die Eingabetaste drücke, erhalte ich die Fehlermeldung "Login incorrect".
Dann verwendest du md5 Verschlüsselung. crypt() Verschlüsselung ist mit 8 Zeichen ausgereizt. Das ist auch einfach erklärt, da crypt in Wirklichkeit auf DES aufsetzt, und DES (wenn mein Gedächtnis mich nicht im Stich lässt) 56bit keylength hat. 7bits pro Zeichen x 8 == 56. (Die Passwörter werden eigentlich nicht verschlüsselt, es wird in Wirklichkeit ein konstantes Datum mittels DES und des Passworts als key verschlüsselt. So verwandelt crypt() DES zu einer kryptographischen Hashfunktion.) Andreas
On Fre, 26 Jul 2002 at 22:51 (+0200), Andreas Kostyrka wrote: [...]
Dann verwendest du md5 Verschlüsselung. crypt() Verschlüsselung ist mit 8 Zeichen ausgereizt. Das ist auch einfach erklärt, da crypt in Wirklichkeit auf DES aufsetzt, und DES (wenn mein Gedächtnis mich nicht im Stich lässt) 56bit keylength hat. 7bits pro Zeichen x 8 == 56.
Eine Blocklänge von 8 Byte für DES heisst aber noch nicht, dass nun bei 8 Byte Schluss sein muss. Die zu verschlüsselnden Daten müssen nur ein Vielfaches von 8 Byte haben. Theoretisch wäre also z. B. auch 16 ... möglich. Ich denke mal, dass man in den grauen Urzeiten, in denen crypt designed wurde, 8 Zeichen für ausreichend hielt. DES ist daran nicht primär schuld. Jan
participants (19)
-
Andreas Kostyrka
-
B.Brodesser@t-online.de
-
Bernhard Walle
-
Christian Herzyk
-
Christoph Maurer
-
der_heio@gmx.net
-
Gerd-Christian Michalke
-
Heio
-
Jan.Trippler@t-online.de
-
Joerg Demtroeder
-
Manfred Tremmel
-
Michael Raab
-
Peter Blancke
-
Philipp Zacharias
-
Ratti
-
Roman Langolf
-
Samuel Edlmeier
-
Steffen Lauterkorn
-
Thomas Templin