Re: Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
ich finde es spricht auch nichts dagegen AES (oder ähnliche Algorithmen) als Hash-Funktion zu 'missbrauchen'. Aber warum sollte man das tun, wo es doch viele 'echte' Hash-Funktionen gibt? ^^^ Juchee, es gibt doch jemand der (mich) verstanden hat! :) -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja halllo erstmal,... Am Sonntag, 5. September 2004 11:40 schrieb Jan Kesten: > Jan Lühr wrote: > | ich habe dir gezeigt wie es geht. (Btw. DES wird streng genommen > | auch keine Hash-Funktion, wird aber eingesetzt.) Warum soll ein > | AES mit einem Festen Klartext und einem Variablen-Schlüssel keine > | Hash-Funktion sein? Ich verstehe nicht, gegen welche Definition > | einer Hash-Funktion das verstoßen soll. (Btw. Es treten immer > | dann Kollisionen auf, wenn die ersten 256-Bit des Werts gleich > > Hallo, > > ich finde es spricht auch nichts dagegen AES (oder ähnliche > Algorithmen) als Hash-Funktion zu 'missbrauchen'. Aber warum sollte > man das tun, wo es doch viele 'echte' Hash-Funktionen gibt? Naja, da Problem ist, dass es zur Zeit "Gerüchte" gibt, dass sich Kollisionen für bestimmte Hash-Funktionen einfacherer berechnen lassen. Besonders md5 erweist sich (bzw. hat sich bereits) als ausgesprochen Anfällig erwiesen. Neu ist, dass wohl auch einige SHA-Varianten von diesem Problem betroffen sind. Von daher ist es ungünstig dieses zu verwenden - Experten meinen zur Zeit man sollte sie nicht für kritische Bereiche verwenden. > Hatte > mal das Buch von Bruce Schneier, Applied Cryptography gelesen, dort > steht eine ganze Menge dazu drin, auch zu One-Way-Haskfunktionen und > der dazugehörenden Cryptanalyse. > > Interessant auch Kap. 18.11 (One-Way Hash Functions Using Symmetric > Block Algorithms) Auf so etwas wollte ich in etwa hinaus als ich von AES-Hashes sprach. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iQIVAwUBQTroNtAHMQ8GQaYRAQIAfg//fwnTNUt3YDayJKaMB+6DBXrqSyEwnfg1 omhBhgnyqyQSUV6Q8tTKmN9e3Eh8qpttctDRu4PvSyZjVqwonR/o1Fq9OU4XSjKl Gch97AFF87DnGA2oilUL1X4Mrsh52+8ue6fw26NRMkbgBd3hSqaQVZ0JYoTwPKyr 5OofYyFM7E9C/TKu64bRQG/icGkK9H4gp+v7f8PU8CpYOIQ7YqDnCfUAdQvkrnEQ tREI/p7Bb6p/8qtiTEGUAKTeLFTDYF//Siw9BJWeLEPAr8y0vbk79zwNfe7shwSL 3m/GqrNLewcCgKxTuwooS1zsIvk/PViemIkPaRlEQuE7S7yp8TrxlvmlgHf//hPJ ISphqNpHR1dOZUJTKEFv7BFGK+P2oA4k73adIJARSkMfFUkNGQBoF6ct6w9/KD0G 2U04A0FU7rwSSvKw9uYHRre4MBdovO2ru2B27Qk4WhrACGEeVx4Y+30bRre9iSVc ZaeM/fhj2q5vbjUsigCf0dPlS6GslaeLrerwWiJqKWOa2ZPqCrvKVGPq4pzKIFkk H8OFVYSB5oEmUI0/fJrq5a8jPr3U+C9ObJymQEgXgL9X8UrMc0D/Vpj9CRBtqkhA 6B4clk30LtyzNVb6Vk/LXNVAw7nBX47VSigF0C2sMRz9+zZowNbTyIafs6l6RRRe XF8c17vz72I= =r2J2 -END PGP SIGNATURE-
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Jan Lühr wrote: | ich habe dir gezeigt wie es geht. (Btw. DES wird streng genommen | auch keine Hash-Funktion, wird aber eingesetzt.) Warum soll ein | AES mit einem Festen Klartext und einem Variablen-Schlüssel keine | Hash-Funktion sein? Ich verstehe nicht, gegen welche Definition | einer Hash-Funktion das verstoßen soll. (Btw. Es treten immer | dann Kollisionen auf, wenn die ersten 256-Bit des Werts gleich Hallo, ich finde es spricht auch nichts dagegen AES (oder ähnliche Algorithmen) als Hash-Funktion zu 'missbrauchen'. Aber warum sollte man das tun, wo es doch viele 'echte' Hash-Funktionen gibt? Hatte mal das Buch von Bruce Schneier, Applied Cryptography gelesen, dort steht eine ganze Menge dazu drin, auch zu One-Way-Haskfunktionen und der dazugehörenden Cryptanalyse. Interessant auch Kap. 18.11 (One-Way Hash Functions Using Symmetric Block Algorithms) Cheers, Jan - -- GPG-KeyID: 82201FC4 Available at my public keyserver www.gpg-keyserver.de -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFBOt73vvmCkIIgH8QRAlHrAJ9Sd2qvzoUtBic9ydkID9fWYuSGmwCgnX1+ 6dWGDhZiTiBben5BaYjtLp0= =nZ8q -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Jan Lühr wrote: Das war eine kleine Scherzhafte Bemerkung, weil ich ein wenig überrascht war, dass du so arg gegen die Verwendung von AES protestiert hattest. Ich dachte, Das ich das getan habe ist mir neu. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,.. Am Dienstag, 31. August 2004 22:39 schrieb Björn Schmidt: > Jan Lühr wrote: > > Gib mal ganz schnell man crypt ein ;-). In Kürze: Aus jeder sym. Verschl. > > Funktion lässt sich eine Hashfunktion bauen, indem man einen festen > > Klartext nimmt, und den zu hashenden Wert als Schlüssel. Dieses ist > > eindeutig, da es genau einen Schlüssel gibt, mitdem sich er Geheimtext in > > einen Klartext umdrehen lässt. > > Twofish und aes sind Blockcipher und keine Hashfunktionen. Daran kann keine > manpage etwas ändern. Und cbc auch nicht. ich habe dir gezeigt wie es geht. (Btw. DES wird streng genommen auch keine Hash-Funktion, wird aber eingesetzt.) Warum soll ein AES mit einem Festen Klartext und einem Variablen-Schlüssel keine Hash-Funktion sein? Ich verstehe nicht, gegen welche Definition einer Hash-Funktion das verstoßen soll. (Btw. Es treten immer dann Kollisionen auf, wenn die ersten 256-Bit des Werts gleich sind), dass ist bei Kennwörtern aber irrelevant. Einzig relavant für die Verwendung von AES ist die Frage, wie gut sich der Schlüssel berechnen lässt. XOR wäre für die Kennwort-Verschlüsselung absolut ungeeignet. Auch wenn ihr Wert eindeutig ist, so ist das Kennwort leicht Rekonstuierbar. Hier sagt Albrecht Beutelsbacher in "Moderne Verfahren der Kryptographie" (Vieweg Verlag, Braunschweig / Wiesbaden 1999) einige nette Dinge darüber aus. (Leider sehr allgemein und nur im asym. Berech vertieft) aus. > > (Btw. Was sagt das jetzt über die Uni Paderborn aus ? ;-) > > Ich bin gespannt auf Deine Meinung. Es wäre jedoch toll wenn Du in der > Hinsicht etwas direkter werden könntest. Das war eine kleine Scherzhafte Bemerkung, weil ich ein wenig überrascht war, dass du so arg gegen die Verwendung von AES protestiert hattest. Ich dachte, ihr hättet dort die Konstruktion von "Einweg-Funktionen" (Hash-Funktionen) besprochen. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iQIVAwUBQTrZLdAHMQ8GQaYRAQIsAA/+KXjx9BkvrxZzgzwrRCm6ilnLUYXBm2k0 uAjlkyr1lg5eEo/qkZpvSKdok7DP1CFYSb/2clAg1lXcjOHzgVn4o9F6rfAPPdem vSzkuqZIyo1u/XVq1IuxK+kerCnxr0ssmdnJY97n4VlAsanXMv337Xi8meQJUS0q c8Jn15ah3AOD806Lyes+1MOWvb2fdwqpmTVRHpC9dE21qHDeVNf1OhfAlMdjnz1f 8Tt1N2mfc7k7DsWJYWwUIcDfZ2gf6RN+8pHmSN8xceEw41q7WnrHsaVlTWaqJfIQ GUnlfO1ykTFRDTxh3TcRGhXtFx+7bIKRhho7vGhVt13u9HMloz8+SvCSGyXS3wH3 P64DITDP/RcH7zQqnJo95TZUprmZkIs0wbdvdtP7g1u9I5OPQq3znvLy8tKuqi8v QQYPMlrNe7IQeGrPZt5Y4MjzLikwY0o6KoDcBpj8dHM3SaapwugE7z73BibhPt8Q SwgfUVsYbxUr4GdLb9iZF2Hr9HVAX41NdAilPIUC1Ly9Bn9p+0f12GXFLHqdTPjj WL0OVeb9b5U7f41Xjf/Ou3QxkSsE7kx1BzlyrrmhZ+qQvA+dc71xY/Nz2BOMb7ln oO/YzOOnRAxPdkZfS6Cu4TKY+zsa/X+RJx+0PopXScf1XEXV3PsrsaU393G+wQOs eT8fqT54zRQ= =wYnH -END PGP SIGNATURE-
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Hallo Jan, Jan Kesten <[EMAIL PROTECTED]> wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Malte Spiess wrote: > > | Bei adduser ist es aber so: (Ich gebe als Passwort immer "a" > | ein.) > > Hallo, Malte! > > Gerade mal etwas getestet, als root kannst Du trotz der cracklib > kurze und unsichere Passwörter vergeben, aber root sollte wissen was > er tut (wie so üblich): Ja, klar, das macht Sinn! > - -- SNIP -- > > teefix:/usr/sbin# adduser test > Adding user test... > Adding new group test (1022). > Adding new user test (1022) with group test. > Home directory /home/test already exists. Not copying from /etc/skel > New UNIX password: > BAD PASSWORD: it's WAY too short > Retype new UNIX password: > passwd: password updated successfully > Changing the user information for test > Enter the new value, or press ENTER for the default > ~Full Name []: > ~Room Number []: > ~Work Phone []: > ~Home Phone []: > ~Other []: > Is the information correct? [y/N] y > teefix:/usr/sbin# su - test > [EMAIL PROTECTED]:~$ passwd > Changing password for test > (current) UNIX password: > New UNIX password: > BAD PASSWORD: it's WAY too short > New UNIX password: > BAD PASSWORD: it's WAY too short > New UNIX password: > BAD PASSWORD: it's WAY too short > passwd: Authentication token manipulation error > [EMAIL PROTECTED]:~$ > > - -- SNIP -- > > Wenn ich als root adduser ausführe, dann kann ich meinem Nutzer > 'test' dennoch das Passwort 'a' zuweisen und ich bekomme lediglich > die Warnung. > > Aber wenn ich mich als Nutzer 'test' einlogge (oder mich mal dazu > mache), kann ich es nicht mehr - dort versagt passwd dann die > Dienste wenn ich unsichere Passwörter vergeben will (weil mir das > sichere was ich verwenden soll nicht passt). Ach so, vielen Dank für die Infos! Gruß Malte
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Malte Spiess wrote: | Bei adduser ist es aber so: (Ich gebe als Passwort immer "a" | ein.) Hallo, Malte! Gerade mal etwas getestet, als root kannst Du trotz der cracklib kurze und unsichere Passwörter vergeben, aber root sollte wissen was er tut (wie so üblich): - -- SNIP -- teefix:/usr/sbin# adduser test Adding user test... Adding new group test (1022). Adding new user test (1022) with group test. Home directory /home/test already exists. Not copying from /etc/skel New UNIX password: BAD PASSWORD: it's WAY too short Retype new UNIX password: passwd: password updated successfully Changing the user information for test Enter the new value, or press ENTER for the default ~Full Name []: ~Room Number []: ~Work Phone []: ~Home Phone []: ~Other []: Is the information correct? [y/N] y teefix:/usr/sbin# su - test [EMAIL PROTECTED]:~$ passwd Changing password for test (current) UNIX password: New UNIX password: BAD PASSWORD: it's WAY too short New UNIX password: BAD PASSWORD: it's WAY too short New UNIX password: BAD PASSWORD: it's WAY too short passwd: Authentication token manipulation error [EMAIL PROTECTED]:~$ - -- SNIP -- Wenn ich als root adduser ausführe, dann kann ich meinem Nutzer 'test' dennoch das Passwort 'a' zuweisen und ich bekomme lediglich die Warnung. Aber wenn ich mich als Nutzer 'test' einlogge (oder mich mal dazu mache), kann ich es nicht mehr - dort versagt passwd dann die Dienste wenn ich unsichere Passwörter vergeben will (weil mir das sichere was ich verwenden soll nicht passt). HTH, Jan - -- GPG-KeyID: 82201FC4 Available at my public sks keyserver sks.nerdcamp.net Please report any problems using sks.nerdcamp.net! -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFBNbQ6vvmCkIIgH8QRAkcEAJ4hmi4xR3TLmarcRapuD5E6ejV4twCgorF5 jj6ebZsodz1fg5uKT+oTtz0= =NgxC -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Dirk Salva wrote: Hallo, Dirk! | Das aendert - zumindest bei mir - aber nur die Frage nach | Shadow-Passwoertern, sonst nichts;-/ Die schon vergebenen Passwörter sollte das auch nicht beeinflussen, sondern nur, dass ab jetzt MD5 verwendet werden soll. | aendere, wird es nicht mehr angenommen. Also ist max=8 scheinbar | irrelevant. Hmm, jetzt bin ich etwas ratlos, normalerweise sollte das eigentlich nicht ignoriert werden?! Lass mich dort gerne korrigieren, aber vielleicht wird es an anderer Stelle ausgehebelt? | Da dpkg-reconfigure ja scheinbar nicht alles ausreizt: Datei von Hand | editieren, oder wie agieren? Das Problem ist, dass man die 'normalen' Passwörter nachträglich nicht mehr zu MD5 wandeln kann (dazu müsste man das Passwort ja im Klartext kennen und da wird's schwierig). Du kannst aber die Passwörter per passwd ändern und dann sollten sie auch als MD5 angelegt werden. Cheers, Jan - -- GPG-KeyID: 82201FC4 Available at my public sks keyserver sks.nerdcamp.net Please report any problems using sks.nerdcamp.net! -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFBNa81vvmCkIIgH8QRAlx0AJ0SYSaa/Aig+/ou0XstfVp9/U1w+wCgx1f8 blRwtoH4C/Pyh0Uy+ySM0Kc= =i8QE -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Jan Lühr wrote: Gib mal ganz schnell man crypt ein ;-). In Kürze: Aus jeder sym. Verschl. Funktion lässt sich eine Hashfunktion bauen, indem man einen festen Klartext nimmt, und den zu hashenden Wert als Schlüssel. Dieses ist eindeutig, da es genau einen Schlüssel gibt, mitdem sich er Geheimtext in einen Klartext umdrehen lässt. Twofish und aes sind Blockcipher und keine Hashfunktionen. Daran kann keine manpage etwas ändern. Und cbc auch nicht. (Btw. Was sagt das jetzt über die Uni Paderborn aus ? ;-) Ich bin gespannt auf Deine Meinung. Es wäre jedoch toll wenn Du in der Hinsicht etwas direkter werden könntest. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Montag, 30. August 2004 23:33 schrieb Andreas Metzler: > On 2004-08-30 Jan Luehr <[EMAIL PROTECTED]> wrote: > > Am Montag, 30. August 2004 20:31 schrieb Eduard Bloch: > > > Dieter Franzke schrieb am Montag, den 30. August 2004: > > > > Linuxstandard ist da eher bescheiden mit 8 Zeichen. > > > > > > Nicht "Linuxstandard" - UNIX. > > > > Ehm. Jetzt wo wir beim Thema sind: Da md5 doch nicht SO der renner unter > > den Hasfunktionen ist: Gibt es geprüfte Patches, die das ganze auf > > twofish oder AES umstellen? > > [...] > > http://packages.debian.org/libpam-unix2 Ahh danke... warten wir darauf, dass es nach stable kommt. Ich bin gar nicht auf die Idee gekommen blowfish in google einzugeben ;) Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iQIVAwUBQTTP1NAHMQ8GQaYRAQIIoA//d3WV75puOe8MywOj7SnfxHlravo5hEwL e3WGI0gggtwMwrGumbAkHceWct/N8e28W+iaTUcqZPRgYUXRynx8cpnxUiNSpqk/ 9DNWtv56MGpvl2E1m0O2Azasy2bnKyOEqvUaEGnKI3QZFpICVfaHdfp1lFQ48TX6 J/EqryfrXnotWvTabG3DWcoUlV0BWITbduix52xeTd5IMYj4NXqWJGQpz8U+AAob 2QAxBFA6YlRmWLRCcPQzZKmvS/A+ceUX9GQ8AeYi/vl6Nr8uy9Ejg6TQ9M2qxpBP TAX6eS7Bk8LLJmZ0hLXTq/vxxORuNCrnCO3YsURO5vN4u3K5U9QXIRHx/u8yqIya ExBIW/TXsbCe7zz970KmiOEayrGVTiVfX4wJ1G+DBPy9t78gSEaprgz4Tk771iYk 0EqxCvRzhta44eCmEEDgaSZcx6fGjG8vWxa1cOF0Oi1yPaevxnazbU/NZN7ojfmZ g6sOaik7S0VlfkajuFzil/XY2wx59O73MEQ7vMeNYOaHUoNp2wtf5MtI5UVp/aY9 3xXnFkYXP7d+rvRhvzHZP4U0YjF+DCsiOY+hyoAclHRdy5nSlHq5kc7Lmd1t7mT9 q4NI6/ZtE0IDdktZQ2La9B8+mEoPQ62j8CiNyR1wvDrb1dH3baUnli50kKlWOK+1 rbca5ILkyp4= =XjdU -END PGP SIGNATURE-
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Montag, 30. August 2004 22:04 schrieb Björn Schmidt: > Jan Luehr wrote: > > Ehm. Jetzt wo wir beim Thema sind: Da md5 doch nicht SO der renner unter > > den Hasfunktionen ist: Gibt es geprüfte Patches, die das ganze auf > > twofish oder AES umstellen? Mit 256-Bit Schlüssellänge sollte man > > immerhin auf 32 Zeichen kommen > > Von denen da oben ist m.W. nur md5 eine hashfunktion. Gib mal ganz schnell man crypt ein ;-). In Kürze: Aus jeder sym. Verschl. Funktion lässt sich eine Hashfunktion bauen, indem man einen festen Klartext nimmt, und den zu hashenden Wert als Schlüssel. Dieses ist eindeutig, da es genau einen Schlüssel gibt, mitdem sich er Geheimtext in einen Klartext umdrehen lässt. (Btw. Was sagt das jetzt über die Uni Paderborn aus ? ;-) Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iQIVAwUBQTTPPdAHMQ8GQaYRAQKbfhAAqr/09ErezCp0Wf8D8rkruqUBiX6mi12x 5WF9A/JttQMbZwTXKpWfxOkDBqAb/sfUBcptbHDjsOSDaFwGu0v1ueOonuppxg37 H/NiD1EjyfJSdbXsk5xuFE59Z2CKzzy9aTPFZXfyQURaWTp9RZuklrlMkyx4t7ja XUZeqbUmVXyL3jIcG56yLdIySGCvFBkiJ0ypHHU6fuG0IXZ0OaIIugjZnFRZb0kB fOQKmaY1d8/5j3aaKpyT3dAb/25VYmqgiAtBpqqpRnLX/koevpYuv9bP2ifjviyH TLDhbmIj+wuaDphg5DrI+zxeRW6WbRZf926YLFY8/yK9k5s/f9lavtwkOW7n782T 5QKJFbvn6xa2+RdTBzodUop0C5pFdawS1sQAVEQ7pvyw9jkAO4NMrmSGHzlupOal GmAo0Y/I4Gv0CMGal7Ce7llDHtmVYcEP++f/wdnzD1AjqEXAaeqhPV3rnhzH1e64 h1b7/mWruuErX72+TXqAofbN4671URQBDBo6uEjSu11bvBcEPAUlKf03oqbkH16Q P8PUGkaiPmOVGwgtj9cxnAl6T4IfTIZ9WrlJbTd68jYVSxoXOC3FQASTEMh0KZGA 37BthbvFgrateEmmQIpnkCZVGX7tiQytCGrKYkGlxGoOhV0Crp/4QYBSAg1DSEav hAMZWrsxolk= =hsLs -END PGP SIGNATURE-
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Juergen Stuber wrote: | Solch oberschlaue Admins finde ich daher ziemlich ärgerlich, dann | sollen sie lieber einen Cracker auf die Passwortkandidaten | loslassen. Ganz genau - das ist auch etwas das ich umgesetzt hab, die Passwörter lassen sich nur ändern, wenn sie die cracklib für 'gut' befindet und sie eine entsprechend hohe Anzahl von Zeichen und gemische Schreibweise haben. Die Sonderzeichen sind hier allerdings auch optional nur ich nutze sie immer. Cheers, Jan - -- GPG-KeyID: 82201FC4 Available at my public sks keyserver sks.nerdcamp.net Please report any problems using sks.nerdcamp.net! -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFBNIYXvvmCkIIgH8QRAlVkAJ9nyvzki0CGvdZb5SGBd/Y0vVL6cwCZAS+5 h+fkizACL/6Q4G8YERdOVTI= =RrbI -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Jan Kesten <[EMAIL PROTECTED]> writes: > > Ich persönlich nehme immer relativ 'wirre' Buchstaben und > Soderzeichen und Zahlenkombinationen, die sich in keinem Lexikon > finden lassen. Bei Sonderzeichen kriegt man einen Rappel, wenn man mal eine andere Tastatur vor sich hat. Großbuchstaben benutze ich nicht mehr, seit ich mal eine Tastatur mit unzuverlässiger Shift-Taste hatte (durfte da nochmal zum Admin dackeln und mir ein neues Password für einen zweiten Versuch besorgen). Zwischenzeitlich war ich in Frankreich mal bei Passwörtern aus den 20 Kleinbuchstaben, die auf allen westlichen Tastaturen an der gleichen Stelle liegen (ertuiopsdfghjklxcvbn). Inzwischen liegt Frankreich hinter mir und ich bin wieder bei [a-x0-9]*. Natürlich sind die Paßwörter dann entsprechen länger und stammen aus einer guten Quelle von Zufallszahlen (z.B. ausgewürfelt mit 1W20 oder 2W6). > Den Usern wird das auch aufgedrückt (bei den paar die ich hab). Solch oberschlaue Admins finde ich daher ziemlich ärgerlich, dann sollen sie lieber einen Cracker auf die Passwortkandidaten loslassen. Jürgen -- Jürgen Stuber <[EMAIL PROTECTED]> http://www.jstuber.net/ gnupg key fingerprint = 2767 CA3C 5680 58BA 9A91 23D9 BED6 9A7A AF9E 68B4 Looking for consulting and project work in Linux: kernel, USB, embedded systems -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Hey, cool, das ist ja ganz einfach! Danke auch an Björn und Dirk. Jan Kesten <[EMAIL PROTECTED]> wrote: > Malte Spiess wrote: > > | Was mich in dem Zusammenhang mal interessieren würde: Wie kann > | ich verhindern, dass andere User, denen ich bei mir einen Account > | einrichte, einfache Passwörter verwenden? (Außer durch > | vorheriges Zusammenscheißen;-)) > > Auch PAM: Du kannst dort die cracklib (zzgl. passendem Wörterbuch) > für ein paar Tests auf gültige Passwörter verwenden, sollte dann so > aussehen: > > password required pam_cracklib.so retry=2 minlen=10 difok=5 Okay, ist ja echt recht simpel. Bei passwd ist das Verhalten auch genau so, wie ich mir das vorgestellt habe. Bei adduser ist es aber so: (Ich gebe als Passwort immer "a" ein.) ---snip--- # adduser test Lege Benutzer test an... Adding new group `test' (1001). Adding new user `test' (1001) with group `test'. Erstelle Homeverzeichnis /home/test. Kopiere Dateien aus /etc/skel New UNIX password: >>>(ich: "a") BAD PASSWORD: it's WAY too short Retype new UNIX password: >>>(ich: "a") passwd: password updated successfully Ändere Benutzerinformationen für test Geben Sie einen neuen Wert an oder ENTER für den Standardwert Name []: Raum []: Telefon geschäftlich []: Telefon privat []: Sonstiges []: Sind die Informationen korrekt? [j/N] j ---snap--- Danach hat "test" irgendein Passwort. Ist das so im Sinne des Erfinders? Ist zwar nicht so tragisch, weil man daneben sitzt, aber trotzdem komisch... Gruß Malte
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
On Mon, Aug 30, 2004 at 08:59:54PM +0200, Jan Kesten wrote: > Vielleicht brauchst Du ein > dpkg-reconfigure -plow passwd Das aendert - zumindest bei mir - aber nur die Frage nach Shadow-Passwoertern, sonst nichts;-/ > password required pam_unix.so nullok obscure min=4 max=8 md5 > So oder so ähnlich sieht die Zeile in Original als common-password > schon dabei ist, sollte man 'leere' Passwörter verbieten, in dem man > 'nullok' weglässt wenn möglich. Stimmt, so sieht sie aus. Wieso steht diese Info nicht im debian-harden drin? Und: wird max=8 ignoriert? Ich habe bei einem User ein neunstelliges Passwort, wenn ich da die neunte Stelle aendere, wird es nicht mehr angenommen. Also ist max=8 scheinbar irrelevant. Da dpkg-reconfigure ja scheinbar nicht alles ausreizt: Datei von Hand editieren, oder wie agieren? ciao, Dirk -- | Akkuschrauber-Kaufberatung and AEG-GSM-stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The "Ruhrgebiet", best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
On 2004-08-30 Jan Luehr <[EMAIL PROTECTED]> wrote: > Am Montag, 30. August 2004 20:31 schrieb Eduard Bloch: > > Dieter Franzke schrieb am Montag, den 30. August 2004: > > > Linuxstandard ist da eher bescheiden mit 8 Zeichen. > > Nicht "Linuxstandard" - UNIX. > Ehm. Jetzt wo wir beim Thema sind: Da md5 doch nicht SO der renner unter den > Hasfunktionen ist: Gibt es geprüfte Patches, die das ganze auf twofish oder > AES umstellen? [...] http://packages.debian.org/libpam-unix2 cu andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Hallo Malte, * Malte Spiess wrote on Mon, 30 Aug 2004 at 21:25 +0200: > Wie kann ich verhindern, dass andere User, denen ich bei mir einen > Account einrichte, einfache Passwörter verwenden? Wenn du den Benutzer schon eingerichtet hast, dann kannst du den Passwortcracker "John the Ripper" (www.openwall.com) bemühen. Ansonsten vorher, wie schon von anderen geposted, die cracklib verwenden. Viele Grüße, -Dirk -- "Microsoft has been doing a really bad job on their OS." - Linus Torvalds pgpRgFXZuhRrD.pgp Description: PGP signature
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
On Mon, Aug 30, 2004 at 08:18:58PM +0200, Dieter Franzke wrote: > Du kannst bei der Installation auswählen welche > Verschlüsselungsmethode benutzt wird. > Wenn du da md5 auswählst dürfen die PAsswörter ganz schön lang > sein.. Nachtraeglich aenderbar mit dpkg-reconfigure wasgenau? ciao, Dirk -- | Akkuschrauber-Kaufberatung and AEG-GSM-stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The "Ruhrgebiet", best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Jan Luehr wrote: Ehm. Jetzt wo wir beim Thema sind: Da md5 doch nicht SO der renner unter den Hasfunktionen ist: Gibt es geprüfte Patches, die das ganze auf twofish oder AES umstellen? Mit 256-Bit Schlüssellänge sollte man immerhin auf 32 Zeichen kommen Von denen da oben ist m.W. nur md5 eine hashfunktion. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Malte Spiess wrote: | Was mich in dem Zusammenhang mal interessieren würde: Wie kann | ich verhindern, dass andere User, denen ich bei mir einen Account | einrichte, einfache Passwörter verwenden? (Außer durch | vorheriges Zusammenscheißen;-)) Auch PAM: Du kannst dort die cracklib (zzgl. passendem Wörterbuch) für ein paar Tests auf gültige Passwörter verwenden, sollte dann so aussehen: password required pam_cracklib.so retry=2 minlen=10 difok=5 Schau mal im Debian Sicherheits Guide nach oder frag mal Google danach, dann wirst Du schnell fündig :-) Cheers, Jan - -- GPG-KeyID: 82201FC4 Available at my public sks keyserver sks.nerdcamp.net Please report any problems using sks.nerdcamp.net! -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFBM4gSvvmCkIIgH8QRAjG2AJ4gbh3q6ju8HefxbzARvzpFt1U3qACgs57F 2YYxgF76nfGMJ5COHmJBSAY= =4oge -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Malte Spiess wrote: Was mich in dem Zusammenhang mal interessieren würde: Wie kann ich verhindern, dass andere User, denen ich bei mir einen Account einrichte, einfache Passwörter verwenden? (Außer durch vorheriges Zusammenscheißen;-)) Du kannst in der /etc/pam.d/common-password eine führende Zeile mit dem Modul pam_cracklib.so eintragen und konfigurieren. Einfach mal nach dem Modulnamen googlen... -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
ja hallo erstmal, Am Montag, 30. August 2004 20:31 schrieb Eduard Bloch: > Moin Dieter! > > Dieter Franzke schrieb am Montag, den 30. August 2004: > > Linuxstandard ist da eher bescheiden mit 8 Zeichen. > > Nicht "Linuxstandard" - UNIX. Ehm. Jetzt wo wir beim Thema sind: Da md5 doch nicht SO der renner unter den Hasfunktionen ist: Gibt es geprüfte Patches, die das ganze auf twofish oder AES umstellen? Mit 256-Bit Schlüssellänge sollte man immerhin auf 32 Zeichen kommen Keep smiling yanosz
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Was mich in dem Zusammenhang mal interessieren würde: Wie kann ich verhindern, dass andere User, denen ich bei mir einen Account einrichte, einfache Passwörter verwenden? (Außer durch vorheriges Zusammenscheißen;-)) Gruß Malte
Re: Sicherheitsproblem: nur die ersten acht Stellen des Passworts müssen korrekt sein.
Am 2004-08-30 21:17:47, schrieb Jan Kesten: > Arabisch? Hmm, gleich mal die Wortlisten rauskramen und die cracklib > füttern - wie kann ich einen deiner Rechner nochmal erreichen? SCNR :-) > > Ich persönlich nehme immer relativ 'wirre' Buchstaben und > Soderzeichen und Zahlenkombinationen, die sich in keinem Lexikon > finden lassen. Den Usern wird das auch aufgedrückt (bei den paar die > ich hab). > > Und regelmäßiges Ändern nicht vergessen :-) Bei mir werden sie nach 7 Tagen ungültig... Aber die Sachen mit dem Koran oder auch Bibel und Tora... Das hält Dein Gehirn auf trab Vor allem sind es ja jedesmal zwichen 90 und 150 Zeichen :-) Es ist einfach beeindruckend, wenn Du jemanden bei Dir hast, und Du hackst VOR ihm ein 2 Zeilen langes Passwort in die Kiste :-) > Jan Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature