[+oldva vagymi :)] passwd wtf :D

Fórumok

hali

lenny-m van. meg szerettem volna változtatni a user jelszavamat.

mondok 'passwd'
beírom régi jelszót (20+ karakter, kicsi nagy betűk, számok, speciális karakterek)
beírom újat (7 karakter, csupa kisbetű)
beírom megint

'Bad: new and old password are too similar'

a jelszavam meg persze maradt az eredeti.

ez most bug vagy feature?

vagy csak nem akarta az arcomba vágni hogy buta júzer tegyél nemkisbetűt is a jelszavadba?

vagy ha bug akkor küldjek róla bugreportot hová, vagy minek? :)

köszi,

eren

Hozzászólások

Csak nem akarta az arcodba vágni, hogy buta júzer tegyél nemkisbetűt is a jelszavadba !!

Feature, es arrol szol, amit a hibauzenet is mond: tul sok egyezes van a regi meg az uj jelszavadban. Asszem ez az ellenorzes kis/nagybetu erzeketlen.
--


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

köszi, puszi xD

^^*

________________________________________________________
"I do not fear computers. I fear the lack of them."
/ Isaac Asimov /

A felhasználónál bug, a passwd programban feature.

man passwd:

"Then, the password is tested for complexity. As a general guideline,
passwords should consist of 6 to 8 characters including one or more
characters from each of the following sets:
o lower case alphabetics
o digits 0 thru 9
o punctuation marks"

----
"Fontosabb egy jó szomszéd, mint egy távoli rokon." (Árvízkárosult, 2010)

ha ideirod a regi es az uj jelszavadat, akkor tudok segiteni, hogy mi lehetett a gond.

Lehet, hogy hülyeség, de nem lehet, hogy a régi és az új jelszóból képzett md5 (vagy egyéb hash) tényleg túl hasonló?

na, ez az egy, ami tutira nem
ha egyetlen bitet valtoztatol (nem egy betut, hanemcsak egy bitet) a bemenetet, a hash fuggvenyek altalaban a kimenetek felet valtoztatjak.

A jelszoellenorzesi formak nagyon ritka kiveteltol eltekintve a cleartext jelszon tortennek, ugy ertem, hogy a hosszelenorzes, a jelkeszlet ellenorzese (kisbetu, nagybetu, szam, stb), vagy a tiltott szavak szotaraban valo szereples ellenorzese stb.

A keves kivetel koze tartozik a history: ne hasznalj egy regebbi jelszot ujra (biztonsagi okokbol a historyban hash-t tarolnak, nem a cleartextet) de ilyen history nincs (nem nagyon van) implementalva egy atlag linuxban.

Mig a history-fele "egyezik" az pompasan latszik a hash-en, addig a "tul hasonlo" megallapithatatlan hash-bol, az csak a cleartext formabol.

Az eredeti temafelvetonek lehet az a baja, hogy a passwd 8 karakteren trimmeli egy ellenorzesnel a regi es az uj jelszot,
es lehet az a baja, hogy mas okbol utasitja vissza hibas hibauzenettel.

En tobbszor futottam mar bele ebbe a "hibauzenetbe", es mindig az volt az ok, amit a hibauzenet elmond: tul hasonlo a regi meg az uj jelszo.

Borzaszto egyszeru: amikor userkent meg akarod valtoztatni a jelszavad, eloszor be kell verned a regit. Ezutan megkerdezi az ujat, majd dont, hogy elfogadja-e, es ha igen, megint bekeri, megerositeskent.

Namarmost, a passwd - az ajanlasokkal ellentetben - a regi jelszot az authorizacio utan nem tavolitja el a memoriabol, hanem osszehasonlitja a ket jelszot (a regit es az elso korben bepottyintett ujat). Peldaul az alma meg az almafa az nagyon hasonlo jelszavak, de az almafa es az alma265 is hasonloak, mert van olyan konnyen megtalalhato substring, amire egyeznek. Itt valojaban lenyegtelen a jelszo valodi hossza, a substring ablak max merete a lenyeg.
--


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.