hali
lenny-m van. meg szerettem volna változtatni a user jelszavamat.
mondok 'passwd'
beírom régi jelszót (20+ karakter, kicsi nagy betűk, számok, speciális karakterek)
beírom újat (7 karakter, csupa kisbetű)
beírom megint
'Bad: new and old password are too similar'
a jelszavam meg persze maradt az eredeti.
ez most bug vagy feature?
vagy csak nem akarta az arcomba vágni hogy buta júzer tegyél nemkisbetűt is a jelszavadba?
vagy ha bug akkor küldjek róla bugreportot hová, vagy minek? :)
köszi,
eren
- 1248 megtekintés
Hozzászólások
Csak nem akarta az arcodba vágni, hogy buta júzer tegyél nemkisbetűt is a jelszavadba !!
- A hozzászóláshoz be kell jelentkezni
Feature, es arrol szol, amit a hibauzenet is mond: tul sok egyezes van a regi meg az uj jelszavadban. Asszem ez az ellenorzes kis/nagybetu erzeketlen.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
köszi, puszi xD
^^*
________________________________________________________
"I do not fear computers. I fear the lack of them."
/ Isaac Asimov /
- A hozzászóláshoz be kell jelentkezni
A felhasználónál bug, a passwd programban feature.
man passwd:
"Then, the password is tested for complexity. As a general guideline,
passwords should consist of 6 to 8 characters including one or more
characters from each of the following sets:
o lower case alphabetics
o digits 0 thru 9
o punctuation marks"
----
"Fontosabb egy jó szomszéd, mint egy távoli rokon." (Árvízkárosult, 2010)
- A hozzászóláshoz be kell jelentkezni
ha ideirod a regi es az uj jelszavadat, akkor tudok segiteni, hogy mi lehetett a gond.
- A hozzászóláshoz be kell jelentkezni
oh, ne. igazabol ne ird ide :-)
- A hozzászóláshoz be kell jelentkezni
miutan mar upgardeltem lennybol, igy nem tudom/akarom megnezni, de lehet, hogy a passwd ezen ellenorzo rutinjaban bennehagytak a 8 karakteres vagast (vagyis a jelsoznak csak az elso 8 karaktere alapjan donti el, hogy tulsagosan hasonlo-e vagy sem)
meg kellene nezni a forrast
- A hozzászóláshoz be kell jelentkezni
mellesleg valtoztasd meg egy 8 karakteres randomra, es arrol az ujra, nem fog pampogni
- A hozzászóláshoz be kell jelentkezni
azt hiszem, az a szokasos kerdes meg nem hangzott el, hogy
minek is akartad megvaltoztatni a jelszavadat? az neked nem kell.
Es meg arra sem figyelmeztettek, hogy a user jelszo igazabol semmi ellen nem ved, hasznalj inkabb ctyptalt home rendszert
stb
- A hozzászóláshoz be kell jelentkezni
Jol elvagy magadba, vagy nincs szerkesztes linked?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
bizonyára új kutyája lett...
- A hozzászóláshoz be kell jelentkezni
PAM?
- A hozzászóláshoz be kell jelentkezni
Lehet, hogy hülyeség, de nem lehet, hogy a régi és az új jelszóból képzett md5 (vagy egyéb hash) tényleg túl hasonló?
- A hozzászóláshoz be kell jelentkezni
na, ez az egy, ami tutira nem
ha egyetlen bitet valtoztatol (nem egy betut, hanemcsak egy bitet) a bemenetet, a hash fuggvenyek altalaban a kimenetek felet valtoztatjak.
A jelszoellenorzesi formak nagyon ritka kiveteltol eltekintve a cleartext jelszon tortennek, ugy ertem, hogy a hosszelenorzes, a jelkeszlet ellenorzese (kisbetu, nagybetu, szam, stb), vagy a tiltott szavak szotaraban valo szereples ellenorzese stb.
A keves kivetel koze tartozik a history: ne hasznalj egy regebbi jelszot ujra (biztonsagi okokbol a historyban hash-t tarolnak, nem a cleartextet) de ilyen history nincs (nem nagyon van) implementalva egy atlag linuxban.
Mig a history-fele "egyezik" az pompasan latszik a hash-en, addig a "tul hasonlo" megallapithatatlan hash-bol, az csak a cleartext formabol.
Az eredeti temafelvetonek lehet az a baja, hogy a passwd 8 karakteren trimmeli egy ellenorzesnel a regi es az uj jelszot,
es lehet az a baja, hogy mas okbol utasitja vissza hibas hibauzenettel.
- A hozzászóláshoz be kell jelentkezni
En tobbszor futottam mar bele ebbe a "hibauzenetbe", es mindig az volt az ok, amit a hibauzenet elmond: tul hasonlo a regi meg az uj jelszo.
Borzaszto egyszeru: amikor userkent meg akarod valtoztatni a jelszavad, eloszor be kell verned a regit. Ezutan megkerdezi az ujat, majd dont, hogy elfogadja-e, es ha igen, megint bekeri, megerositeskent.
Namarmost, a passwd - az ajanlasokkal ellentetben - a regi jelszot az authorizacio utan nem tavolitja el a memoriabol, hanem osszehasonlitja a ket jelszot (a regit es az elso korben bepottyintett ujat). Peldaul az alma meg az almafa az nagyon hasonlo jelszavak, de az almafa es az alma265 is hasonloak, mert van olyan konnyen megtalalhato substring, amire egyeznek. Itt valojaban lenyegtelen a jelszo valodi hossza, a substring ablak max merete a lenyeg.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.
- A hozzászóláshoz be kell jelentkezni