Re: login-Passwort: Unicode vs. Latin1

[Andreas Kroschel]

* Nikolaus Schulz:

> Also ein Paßwort, das über eine Dictionary-Attack geknackt werden kann, 
> ist m.E. per se schwach. Und jede weitere Hürde für den Angreifer macht 
> ein System sicherer.

Ja, wenn eine Wörterbuchattacke erfolgreich war, war es zu schwach. Die
Eingebbarkeit über die Tastatur ist trotzdem kein Kriterium, weil
Wörterbuchattacken nun mal nicht über die Tastatur erfolgen.

Grüße,
kro
-- 
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
(PGP/GPG 0xCE248A25)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Hallo Andreas,

sorry, ich hab aus Versehen 'ne private Mail geschickt. Dachte ich kann
mit Mozilla mal eben genauso lässig in die Liste posten - denkste.

Ich erlaube mir, das noch zu den öffentlichen Akten zu legen, okay?
Wenn auch die References natürlich hin sind... Ärgerlich.

Andreas Pakulat wrote:
> > Aber für login gibt es doch nur das systemweite Locale, oder? Dann 
> > müßten doch alle User auf der Maschine ihre Paßwörter zu diesem Locale 
> > kompatibel wählen...
> 
> Wahrscheinlich, nur das auf einer Multi-Language Plattform wohl die
> System-Locale C sein dürfte. Demzufolge musst du eh ASCII nehmen.

Tschau, 
Nikolaus


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Andreas Kroschel wrote:

>* Mario Scheel:
>
>
>>Wie soll ein Amerikanischer Hacker ÃÃÃ Ãberhaupt eingeben kÃnnen, 
>>also ist
>>die Verwendung solcher Zeichen erheblich sicherer. 
>
>
>Indem der Zusammensteller des WÃrterbuches fÃr einen gleichnamigen Angriff
>Ãber den ascii-Tellerrand hinaus geschaut hat? Das geht auch ohne die
>Tastatur dazu, ÐÐÐÑÑ?

Also ein PaÃwort, das Ãber eine Dictionary-Attack geknackt werden kann, 
ist m.E. per se schwach. Und jede weitere HÃrde fÃr den Angreifer macht 
ein System sicherer.

Nikolaus


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Kroschel]

* Andreas Pakulat:

> Ich weiss nicht wie das nun genau in Russisch, Japanisch oder sonstwas
> aussieht, aber ich kann mir nicht vorstellen, dass $Compiler derart
> lokalisiert ist, das Russen entsprechend "ÐÑ () {}" (ist das jetzt korrekt
> - mensch ist das lange her) im Quellcode haben.

Ich wÃre ja eher fÃr "ÐÑÐÐ () {}". Im russischen VBA gibts das bestimmt.

GrÃÃe,
kro
-- 
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
(PGP/GPG 0xCE248A25)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Pakulat]

On 12.Dec 2004 - 19:44:30, Mario Scheel wrote:
> Peinlich, Peinlich, ich glaube ich werde alt.

Man merkst ;-)

> > ?? Also ich hab noch kein C/Python/Java oder Ãhnliches Programm in
> > Russisch gesehen.. Aber wenn die sich ne Sprache ausdenken die das
> > unterstÃtzt ist das natÃrlich mÃglich.
> 
> Java und C# sind beides Sprachen die den vollen Unicode 2.0 unterstÃtzen, 
> d.h. 
> sÃmtliche frei wÃhlbaren Bezeichner kÃnnen in der LandesÃblichen Sprachen 
> und 
> entsprechenden Glyphen erstellt werden.

Naja, aber nur, wenn die Entwickler das Projekt in dem Land mit
Landsgenossen programmieren. Sobald Leute dazukommen die ne ganz
andere Sprache haben, oder der Quellcode von allen Menschen eingesehen
werden kÃnnen soll, heissts jawohl: English. Davon abgesehen, mÃssen
diese Leute trotzdem noch if, then, while und die API-Klassennamen
eintippen (ja ja, kann man auch alles aus $GUI zusammenklicken, aber
grad if () {} ist denke ich per Hand schneller einzutippen) Ich weiss
nicht wie das nun genau in Russisch, Japanisch oder sonstwas aussieht,
aber ich kann mir nicht vorstellen, dass $Compiler derart lokalisiert
ist, das Russen entsprechend "ÐÑ () {}" (ist das jetzt korrekt - mensch ist
das lange her) im Quellcode haben.

> Also ich bleibe dabei, das es Debian gut zu Gesicht stehen wÃrde wenn man 
> nun 
> auch die LandesÃblichen Zeichen bei der Passwortwahl verwenden kÃnnte. Ich 

Das geht doch auch, nur das Wechseln der locale zwischen Festlegung
und Passworteingabe ist nicht mÃglich, wenn die ZeichensÃtze und
benutzen Zeichen nicht kompatibel sind.

Andreas

-- 
You are sick, twisted and perverted.  I like that in a person.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Mario Scheel]

Am Sonntag, 12. Dezember 2004 18:49 schrieb Andreas Pakulat:

> > Und wie gibt er dann ein ä ein? Nur so eine Frage, vielleicht verstehe
> > ichdas ja nur nicht, dann bitte um Aufklärung.
>
> Indem er auf einem amerikanischen Keyboard mit dt. eingestelltem
> Tastaturlayout " drückt (das ist die 2. Taste neben dem L). Das ist ja
> total egal was für ein Keyboard da steht, Hauptsache das richtige
> Keyboardlayout ist eingestellt (und genau das macht man mit xkb bzw.
> der keymap).

Peinlich, Peinlich, ich glaube ich werde alt.

> > > Die schreiben ihren Programmcode ja auch irgendwie in ASCII...
> >
> > Nicht unbedingt
> > 

Shit, ich habe irgendwelche Tasten gedrückt und auf einmal war die Mail weg, 
ich muss irgendeine blöde Tastenkombination getroffen. naja dann werde ich 
mal meine Mail vervollständigen.

> ?? Also ich hab noch kein C/Python/Java oder ähnliches Programm in
> Russisch gesehen.. Aber wenn die sich ne Sprache ausdenken die das
> unterstützt ist das natürlich möglich.

Java und C# sind beides Sprachen die den vollen Unicode 2.0 unterstützen, d.h. 
sämtliche frei wählbaren Bezeichner können in der Landesüblichen Sprachen und 
entsprechenden Glyphen erstellt werden.

Also ich bleibe dabei, das es Debian gut zu Gesicht stehen würde wenn man nun 
auch die Landesüblichen Zeichen bei der Passwortwahl verwenden könnte. Ich 
meine in Deutschland und unter Interessierten Menschen dürfte das keine 
Problem sein, aber bei einer ganznormalen Koreanischen Sekretärin oder 
Schüler dürfte es schwer zu vermitteln sein warum man nicht die eigenen 
Zeichen verwenden darf.

mfg
Mario


-- 
[EMAIL PROTECTED] ( Auch verschluesselt !! ) 
http://www.marioscheel.de ( Mit Public-Key )
ICQ# 223567831

Re: login-Passwort: Unicode vs. Latin1

[Andreas Pakulat]

On 12.Dec 2004 - 17:47:30, Mario Scheel wrote:
> Am Sonntag, 12. Dezember 2004 17:12 schrieb Andreas Pakulat:
> 
> > > Wie soll ein Amerikanischer Hacker äöü überhaupt eingeben können, also
> > > ist die Verwendung solcher Zeichen erheblich sicherer.
> >
> > LANG=de_DE bzw. de-latin1-nodeadkeys als keymap laden.
> 
> Und wie gibt er dann ein ä ein? Nur so eine Frage, vielleicht verstehe ichdas 
> ja nur nicht, dann bitte um Aufklärung.

Indem er auf einem amerikanischen Keyboard mit dt. eingestelltem
Tastaturlayout " drückt (das ist die 2. Taste neben dem L). Das ist ja
total egal was für ein Keyboard da steht, Hauptsache das richtige
Keyboardlayout ist eingestellt (und genau das macht man mit xkb bzw.
der keymap).

> > Die schreiben ihren Programmcode ja auch irgendwie in ASCII...
> 
> Nicht unbedingt
> 

?? Also ich hab noch kein C/Python/Java oder ähnliches Programm in
Russisch gesehen.. Aber wenn die sich ne Sprache ausdenken die das
unterstützt ist das natürlich möglich.

Andreas

-- 
You have the capacity to learn from mistakes.  You'll learn a lot today.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Mario Scheel]

Am Sonntag, 12. Dezember 2004 17:12 schrieb Andreas Pakulat:

> > Wie soll ein Amerikanischer Hacker äöü überhaupt eingeben können, also
> > ist die Verwendung solcher Zeichen erheblich sicherer.
>
> LANG=de_DE bzw. de-latin1-nodeadkeys als keymap laden.

Und wie gibt er dann ein ä ein? Nur so eine Frage, vielleicht verstehe ichdas 
ja nur nicht, dann bitte um Aufklärung.

> > Ich finde es auch nicht sher schön, wenn ein Betriebssystem im 21 Jhd
> > nichtmal die Lokal üblichen Zeichen in Passwörtern verwenden kann. Was
> > ist mit den Russen, Chinesen, Bengalen ... ?
>
> Die schreiben ihren Programmcode ja auch irgendwie in ASCII...

Nicht unbedingt


> Ausserdem haben wir ja nicht prinzipiell ein Problem mit Umlauten (ich
> meine passwd und login), sondern damit, wenn man passwd in einer
> anderen locale eingibt als login läuft. Man kann also sehr wohl
> Umlaute benutzen, aber man sollte nicht ständig die Locale wechseln
> (was übrigens nicht nur bei login/passwd zu Problemen führt, auch
> eigene Textdateien müssen dann u.U. recoded werden)
>
> Andreas
>
> --
> You have many friends and very few living enemies.

-- 
[EMAIL PROTECTED] ( Auch verschluesselt !! ) 
http://www.marioscheel.de ( Mit Public-Key )
ICQ# 223567831

Re: login-Passwort: Unicode vs. Latin1

[Andreas Kroschel]

* Mario Scheel:

> Wie soll ein Amerikanischer Hacker ÃÃÃ Ãberhaupt eingeben kÃnnen, also 
> ist
> die Verwendung solcher Zeichen erheblich sicherer. 

Indem der Zusammensteller des WÃrterbuches fÃr einen gleichnamigen Angriff
Ãber den ascii-Tellerrand hinaus geschaut hat? Das geht auch ohne die
Tastatur dazu, ÐÐÐÑÑ?

> Ich finde es auch nicht sher schÃn, wenn ein Betriebssystem im 21 Jhd
> nichtmal die Lokal Ãblichen Zeichen in PasswÃrtern verwenden kann. Was ist
> mit den Russen, Chinesen, Bengalen ... ?

Aber man kann es doch. Nur kann man eben dabei die locale nicht wechseln.

GrÃÃe,
kro
-- 
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
(PGP/GPG 0xCE248A25)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Pakulat]

On 12.Dec 2004 - 16:33:58, Mario Scheel wrote:
> Am Sonntag, 12. Dezember 2004 16:05 schrieb Nikolaus Schulz:
> > Andreas Pakulat wrote:
> > > Das Problem ist: Wie willst du in einer US-amerikanischen Umgebung
> > > Umlaute eingeben? Du kannst nicht garantieren dass immer alle Zeichen
> > > verfügbar sind, ausser ASCII - das gibts überall auf der Welt. Nicht
> > > alle Rechner sind nur Desktops, es gibt ausreichend Server.
> >
> > Nicht alle Rechner sind Server :-)
> >
> > > Sicherlich ist es nicht zu schwierig die Eingabe nach der gesetzten
> > > Locale in UTF-16 umzuwandeln und dann von MD5 hashen zu lassen, die
> > > Frage ist nur: Wozu? Schliesslich machen äöüß das Passwort nicht
> > > sicherer als z.B. ;+#= oder ähnliches.
> 
> Wie soll ein Amerikanischer Hacker äöü überhaupt eingeben können, also ist 
> die 
> Verwendung solcher Zeichen erheblich sicherer. 

LANG=de_DE bzw. de-latin1-nodeadkeys als keymap laden. 

> Ich finde es auch nicht sher schön, wenn ein Betriebssystem im 21 Jhd 
> nichtmal 
> die Lokal üblichen Zeichen in Passwörtern verwenden kann. Was ist mit den 
> Russen, Chinesen, Bengalen ... ?

Die schreiben ihren Programmcode ja auch irgendwie in ASCII...
Ausserdem haben wir ja nicht prinzipiell ein Problem mit Umlauten (ich
meine passwd und login), sondern damit, wenn man passwd in einer
anderen locale eingibt als login läuft. Man kann also sehr wohl
Umlaute benutzen, aber man sollte nicht ständig die Locale wechseln
(was übrigens nicht nur bei login/passwd zu Problemen führt, auch
eigene Textdateien müssen dann u.U. recoded werden)

Andreas

-- 
You have many friends and very few living enemies.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Mario Scheel]

Am Sonntag, 12. Dezember 2004 16:05 schrieb Nikolaus Schulz:

> Andreas Pakulat wrote:
> > Das Problem ist: Wie willst du in einer US-amerikanischen Umgebung
> > Umlaute eingeben? Du kannst nicht garantieren dass immer alle Zeichen
> > verfügbar sind, ausser ASCII - das gibts überall auf der Welt. Nicht
> > alle Rechner sind nur Desktops, es gibt ausreichend Server.
>
> Nicht alle Rechner sind Server :-)
>
> > Sicherlich ist es nicht zu schwierig die Eingabe nach der gesetzten
> > Locale in UTF-16 umzuwandeln und dann von MD5 hashen zu lassen, die
> > Frage ist nur: Wozu? Schliesslich machen äöüß das Passwort nicht
> > sicherer als z.B. ;+#= oder ähnliches.

Wie soll ein Amerikanischer Hacker äöü überhaupt eingeben können, also ist die 
Verwendung solcher Zeichen erheblich sicherer. 

Ich finde es auch nicht sher schön, wenn ein Betriebssystem im 21 Jhd nichtmal 
die Lokal üblichen Zeichen in Passwörtern verwenden kann. Was ist mit den 
Russen, Chinesen, Bengalen ... ?

mfg
Mario
-- 
[EMAIL PROTECTED] ( Auch verschluesselt !! ) 
http://www.marioscheel.de ( Mit Public-Key )
ICQ# 223567831

Re: login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Salüt!


Andreas Pakulat wrote:
> Das Problem ist: Wie willst du in einer US-amerikanischen Umgebung
> Umlaute eingeben? Du kannst nicht garantieren dass immer alle Zeichen
> verfügbar sind, ausser ASCII - das gibts überall auf der Welt. Nicht
> alle Rechner sind nur Desktops, es gibt ausreichend Server. 

Nicht alle Rechner sind Server :-)

> Sicherlich ist es nicht zu schwierig die Eingabe nach der gesetzten
> Locale in UTF-16 umzuwandeln und dann von MD5 hashen zu lassen, die
> Frage ist nur: Wozu? Schliesslich machen äöüß das Passwort nicht
> sicherer als z.B. ;+#= oder ähnliches. 

Meinste?

> Ausserdem bedeutet das nur noch eine Funktion die Fehleranfällig ist.

Hm. Jede Funktion ist fehleranfällig.

> > Was mich doch irritiert, ist, daß ich bisher so ziemlich nirgends
> > Hinweise auf diese ganze Problematik gefunden habe. Bin ich nur dran
> > vorbeigestolpert?  Wenn es so u.a. möglich ist, sich schnell und
> > schmerzlos aus dem System auszusperren (auch als root!), dann verdient
> > das m.E. einen warnenden Hinweis. Wo auch immer :-)
> 
> Wenn man man passwd ignoriert, ist man wohl selbst Schuld. Wenn dort
> steht: Nur engl. Alphabet + Zahlen + einige Sonderzeichen, dann
> beherzige das auch. 

Aber das ist doch eine "weiche" Richtlinie, oder? Also eine Empfehlung,
keine Einweisung in technische Notwendigkeiten. (Der man als weiser Mann
natürlich zwecks Streßvermeidung trotzdem folgt, jaja :-)


Grüße,
Nikolaus


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Hi!

Andreas Kroschel wrote:
> >> Du müßtest also an dem Punkt ansetzen, wo Dein Klartext-Passwort
> >> verschlüsselt wird, d.h. den String vor dem Verschlüsseln generell in
> >> utf-8 umwandeln. 
[...]
> Es ist bestimmt nicht schwieriger, als andere Applikationen uft8-fit zu
> machen. Nur muß sich halt einer hinsetzen und es tun. 
[...]
> Warum ich die Notwendigkeit beim Thema Passwort nicht so sehe, ist
> sicherlich höchst subjektiv, aber vielleicht interessiert es dich ja
> trotzdem: Innerhalb derselben locale ist ja eh alles OK. Und wenn Du die
> locale zwischen Festlegung und Eingabe des Passwortes wechselst, ist die
> interne Zeichenrepräsentation ein IMHO sekundäres Problem: Primär weißt Du
> ja gar nicht, was Du da für Zeichen eingibst, da der Wechsel der locale i.a.
> auch einen Wechsel des Keyboard-Layouts bedeutet. Selbst mit einer internen
> utf-8-Ablage könntest Du nicht verhindern, daß man gar kein »ü« eingeben
> kann, wenn die locale gerade z.B. auf en_US steht. 

Das ist glaube ich nicht richtig. Das Tastaturlayout hängt AFAIK nicht
vom Locale des Benutzers, sondern von der Konfiguration des
Tastaturtreibers ab. Im Falle der Console ist dies die Kernel-Keymap
(loadkeys), im Falle von X ist dies i.W. XKB (bzw. xmodmap). 

> Die Arbeit, eine generelle Konvertierungsroutine in Passwortfestlegung
> und -eingabe einzubauen, würde also gerade einmal bewirken, zwischen
> unterschiedlichen Encodings derselben Sprache wechseln zu dürfen. Der
> Gewinn ist IMHO ziemlich gering. 

Hm.

> Bei passwd(1) kommen da Bytes an, woher auch immer. Woher soll das
> Programm wissen, daß Du eigentlich andere eingeben wolltest? Mit einer
> ungarischen Tastaturbelegung wäre es ja exakt das gleiche Problem. 

Es kommt doch nur darauf an, die Umwandlung "Keysymbol <--> codierter
Character" reversibel zu halten. Der Lümmel, der das Keysymbol bei
Eingabe erhält (passwd), könnte Sorge tragen, es locale-unabhängig zu
speichern. 

> OK, es könnte /etc/environment mit der aktuellen $LANG vergleichen und
> dann warnen.  Dann hättest Du aber ein entweder debian-only passwd(1)
> oder ein ziemlich bloatiges solches, das für zig Distributionen
> berücksichtigt, wo diese ihre system-locale abgelegt haben könnten. 

Das wäre die (schlechte) Alternative zur generischen Speicherung.
Anderes Thema.

> > So ganz begreife ich die Magik von Locales und das Zusammenspiel aller
> > beteiligten Komponenten --Tastaturtreiber, glibc, Locales, ggf. X11/XKB, was
> > vergessen?-- aber noch nicht. :-/
> > Gibts dazu einen netten Überblick? Die Betonung liegt auf "Zusammenspiel". 
> 
> Nix wissen das. Was ich hier so absondere, habe ich aus dem utf8-Howto.

Howto (welches?) oder das "UTF-8 FAQ for Unix/Linux"
?

Was die Tastatur betrifft: für XKB gibt's den "Unreliable Guide to XKB"
, für die Console
/usr/share/doc/console-tools/lct.txt. Beides schon für sich genommen,
äh, verbesserungsfähig, aber das Gesamtbild...?

> > Der User guckt also in die Röhre? Zwangsläufig? Wenn das so ist:
> > kann man das irgendwo nachlesen?
> 
> Wenn ich unter Gnome hergehe und 1412 eingebe, habe ich als
> Passwort-Bestandteil das Silbenzeichen »WO« der kanadischen Indianer
> festgelegt. Jemand, der keine kanadische Indianertastatur besitzt und keine
> Möglickeit, das Zeichen anderweitig einzugeben, schaut in die Röhre, ja. Das
> ist mit einem »ü« prinzipiell nicht anders. Warum soll das extra irgendwo
> stehen?

Die Tastatur ist aber nicht das Problem, s.o. 


Nikolaus



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Kroschel]

* Nikolaus Schulz:

>> Du müßtest also an dem Punkt ansetzen, wo Dein Klartext-Passwort
>> verschlüsselt wird, d.h. den String vor dem Verschlüsseln generell in
>> utf-8 umwandeln. Technisch unmöglich ist das sicherlich nicht, aber ich
>> sehe es als Zukunftsmusik.
> 
> Was ist so schwierig daran, den String in ein generisches Format
> umzuwandeln? Sorry wenn das 'ne doofe Frage ist, ich arbeite mich grade in
> diese Sachen ein. Kann just nicht erkennen was das Problem dabei sein
> soll.

Es ist bestimmt nicht schwieriger, als andere Applikationen uft8-fit zu
machen. Nur muß sich halt einer hinsetzen und es tun. Und da sehe ich
dringendere Aufgaben: Mit fallen z.B. slrn (oder überhaupt slang), enscript
und dvi2tty ein, bei denen ich diese Fähigkeit schmerzlicher vermisse.

Warum ich die Notwendigkeit beim Thema Passwort nicht so sehe, ist
sicherlich höchst subjektiv, aber vielleicht interessiert es dich ja
trotzdem: Innerhalb derselben locale ist ja eh alles OK. Und wenn Du die
locale zwischen Festlegung und Eingabe des Passwortes wechselst, ist die
interne Zeichenrepräsentation ein IMHO sekundäres Problem: Primär weißt Du
ja gar nicht, was Du da für Zeichen eingibst, da der Wechsel der locale i.a.
auch einen Wechsel des Keyboard-Layouts bedeutet. Selbst mit einer internen
utf-8-Ablage könntest Du nicht verhindern, daß man gar kein »ü« eingeben
kann, wenn die locale gerade z.B. auf en_US steht. Die Arbeit, eine
generelle Konvertierungsroutine in Passwortfestlegung und -eingabe
einzubauen, würde also gerade einmal bewirken, zwischen unterschiedlichen
Encodings derselben Sprache wechseln zu dürfen. Der Gewinn ist IMHO ziemlich
gering. Als Entwickler würde ich mich vor dem Öffnen des Editors erst
fragen, weshalb das jemand unbedingt machen will.

> Was mich doch irritiert, ist, daß ich bisher so ziemlich nirgends
> Hinweise auf diese ganze Problematik gefunden habe. Bin ich nur dran
> vorbeigestolpert?  Wenn es so u.a. möglich ist, sich schnell und
> schmerzlos aus dem System auszusperren (auch als root!), dann verdient
> das m.E. einen warnenden Hinweis. Wo auch immer :-)

Hm. Bei passwd(1) kommen da Bytes an, woher auch immer. Woher soll das
Programm wissen, daß Du eigentlich andere eingeben wolltest? Mit einer
ungarischen Tastaturbelegung wäre es ja exakt das gleiche Problem. OK, es
könnte /etc/environment mit der aktuellen $LANG vergleichen und dann warnen.
Dann hättest Du aber ein entweder debian-only passwd(1) oder ein ziemlich
bloatiges solches, das für zig Distributionen berücksichtigt, wo diese ihre
system-locale abgelegt haben könnten. Es müßte dazu wohl die init-Scripts
parsen, um es herauszubekommen. Da finde ich den Ansatz »bleib in Deiner
locale!!1!« pragmatischer.

> Der Auslöser für meine Versuche mit Locales ist übrigens Bug #220657
> (libxf86config schreibt lokalisierte XF86Config-4). Zu meiner
> Verwunderung finde ich auch nirgends etwas zur Codierung von
> Konfigurationsdateien. Offensichtlich werden die als ASCII-kompatibel
> vorausgesetzt, aber warum steht das nicht z.B. in der Debian Policy?
> Weil's so sonnenklar ist, oder wieso? Ich bin echt irritiert.

Sonnenklar ist, daß ohne encoding-Angabe für kein 8-Bit-Zeichen gesagt
werden kann, wie es denn auf einem System dargestellt werden soll, deshalb
ja Header in Mail und News und Meta-Angaben auf Webseiten. Für lokale
Plain-Text-Dateien ist es seit Jahr und Tag so, daß man für die
Übereinstimmung des Encodings des Textes mit dem seines Systems selbst zu
sorgen hat, zur Not mit recode(1). Die Meta-Angaben, welches Encoding ein
Text mit zunächst unleserlichen Ümläuten haben könnte, stammen da ja auch
entweder aus dem Wissen, auf was für einem System er erstellt wurde oder aus
gezieltem Raten. Textdateien haben nun einmal keine Header, ob es nun
Konfigurationsdateien sind oder nicht.

> So ganz begreife ich die Magik von Locales und das Zusammenspiel aller
> beteiligten Komponenten --Tastaturtreiber, glibc, Locales, ggf. X11/XKB, was
> vergessen?-- aber noch nicht. :-/
> Gibts dazu einen netten Überblick? Die Betonung liegt auf "Zusammenspiel". 

Nix wissen das. Was ich hier so absondere, habe ich aus dem utf8-Howto.

> Der User guckt also in die Röhre? Zwangsläufig? Wenn das so ist:
> kann man das irgendwo nachlesen?

Wenn ich unter Gnome hergehe und 1412 eingebe, habe ich als
Passwort-Bestandteil das Silbenzeichen »WO« der kanadischen Indianer
festgelegt. Jemand, der keine kanadische Indianertastatur besitzt und keine
Möglickeit, das Zeichen anderweitig einzugeben, schaut in die Röhre, ja. Das
ist mit einem »ü« prinzipiell nicht anders. Warum soll das extra irgendwo
stehen?

Grüße,
kro
-- 
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
(PGP/GPG 0xCE248A25)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Pakulat]

On 12.Dec 2004 - 05:57:57, Nikolaus Schulz wrote:
> Andreas Kroschel wrote:
> > * Nikolaus Schulz:
> > Du müßtest also an dem Punkt ansetzen, wo Dein
> > Klartext-Passwort verschlüsselt wird, d.h. den String vor dem Verschlüsseln
> > generell in utf-8 umwandeln. Technisch unmöglich ist das sicherlich nicht,
> > aber ich sehe es als Zukunftsmusik.
> 
> Was ist so schwierig daran, den String in ein generisches Format
> umzuwandeln? Sorry wenn das 'ne doofe Frage ist, ich arbeite mich grade in
> diese Sachen ein. Kann just nicht erkennen was das Problem dabei sein soll.

Das Problem ist: Wie willst du in einer US-amerikanischen Umgebung
Umlaute eingeben? Du kannst nicht garantieren dass immer alle Zeichen
verfügbar sind, ausser ASCII - das gibts überall auf der Welt. Nicht
alle Rechner sind nur Desktops, es gibt ausreichend Server. 

Sicherlich ist es nicht zu schwierig die Eingabe nach der gesetzten
Locale in UTF-16 umzuwandeln und dann von MD5 hashen zu lassen, die
Frage ist nur: Wozu? Schliesslich machen äöüß das Passwort nicht
sicherer als z.B. ;+#= oder ähnliches. Ausserdem bedeutet das nur noch
eine Funktion die Fehleranfällig ist.

> Was mich doch irritiert, ist, daß ich bisher so ziemlich nirgends
> Hinweise auf diese ganze Problematik gefunden habe. Bin ich nur dran
> vorbeigestolpert?  Wenn es so u.a. möglich ist, sich schnell und
> schmerzlos aus dem System auszusperren (auch als root!), dann verdient
> das m.E. einen warnenden Hinweis. Wo auch immer :-)

Wenn man man passwd ignoriert, ist man wohl selbst Schuld. Wenn dort
steht: Nur engl. Alphabet + Zahlen + einige Sonderzeichen, dann
beherzige das auch. Andere Leute die Umlaute eingeben benutzen
vielleicht immer diesselbe Locale.

> Der Auslöser für meine Versuche mit Locales ist übrigens Bug #220657
> (libxf86config schreibt lokalisierte XF86Config-4). Zu meiner
> Verwunderung finde ich auch nirgends etwas zur Codierung von
> Konfigurationsdateien. Offensichtlich werden die als ASCII-kompatibel
> vorausgesetzt, aber warum steht das nicht z.B. in der Debian Policy?
> Weil's so sonnenklar ist, oder wieso? Ich bin echt irritiert.

Konfigdateien liegen i.A. in englischer Sprache vor, das bedeutet -
ASCII. Debian schreibt hier nichts durch die Policy vor, weil das wohl
ziemlich schlecht wäre - man müsste für jedes Paket prüfen dass diese
auch wirklich ASCII benutzen und die Pakete gegebenenfalls anpassen. 

Andreas

-- 
Your depth of comprehension may tend to make you lax in worldly ways.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Andreas Kroschel wrote:
> * Nikolaus Schulz:
> 
> > Hm, ja, okay. Aber wer sagt, daß die Codierung 1:1 in der internen
> > Datenbank (d.h. /etc/shadow) abgelegt wird?  Sollte man nicht ein
> > generisches internes Format erwarten, sowas wie wchar_t oder eben eine
> > Unicode-Variante?
> 
> Schau mal in die /etc/shadow hinein, da liegen nur verschlüsselte Werte, und
> die als ascii. 

Naja, die Eigenheiten von MD5 und Consorten lassen wir mal außen vor --
oder spielt das in diesem Zusammenhang etwa eine Rolle? IIRC nein.

> Du müßtest also an dem Punkt ansetzen, wo Dein
> Klartext-Passwort verschlüsselt wird, d.h. den String vor dem Verschlüsseln
> generell in utf-8 umwandeln. Technisch unmöglich ist das sicherlich nicht,
> aber ich sehe es als Zukunftsmusik.

Was ist so schwierig daran, den String in ein generisches Format
umzuwandeln? Sorry wenn das 'ne doofe Frage ist, ich arbeite mich grade in
diese Sachen ein. Kann just nicht erkennen was das Problem dabei sein soll.

> >> Keine Package kann etwas dafür, wenn Du Nicht-ascii-Zeichen unter dem
> >> einen Encoding eingibst, aber unter einem anderen abrufst.
> > 
> > Das Verhalten ist /korrekt/? *schnauf*
> 
> Derzeit wäre es wohl ein wishlist-Bug, aber insbesondere auf der Console ist
> utf-8 IMHO noch nicht ausgereift genug, als daß ich Hoffnungen habe, daß
> jemand so essentielle Dinge wie das Login davon abhängig machen will. Unter
> X ist das alles ein wenig enstpannter.

Was mich doch irritiert, ist, daß ich bisher so ziemlich nirgends
Hinweise auf diese ganze Problematik gefunden habe. Bin ich nur dran
vorbeigestolpert?  Wenn es so u.a. möglich ist, sich schnell und
schmerzlos aus dem System auszusperren (auch als root!), dann verdient
das m.E. einen warnenden Hinweis. Wo auch immer :-)

Der Auslöser für meine Versuche mit Locales ist übrigens Bug #220657
(libxf86config schreibt lokalisierte XF86Config-4). Zu meiner
Verwunderung finde ich auch nirgends etwas zur Codierung von
Konfigurationsdateien. Offensichtlich werden die als ASCII-kompatibel
vorausgesetzt, aber warum steht das nicht z.B. in der Debian Policy?
Weil's so sonnenklar ist, oder wieso? Ich bin echt irritiert.

> > Gehe ich richtig in der Annahme, daß der Zeichensatz, mit dem die Console
> > beim Login arbeitet, nicht vom Locale des jeweiligen Benutzers abhängig
> > ist? (Kennt jemand (empfehlenswerte,existierende) Dokumentation dazu?) --
> 
> Eine system-locale gilt auch beim login. Nur weiß ich aus dem Kopf gerade
> nicht, ob da schon /etc/environment eingelesen wurde.

Das console-tools-initscript fummelt jedenfalls in diesem Bereich rum.

So ganz begreife ich die Magik von Locales und das Zusammenspiel aller
beteiligten Komponenten --Tastaturtreiber, glibc, Locales, ggf. X11/XKB, was
vergessen?-- aber noch nicht. :-/
Gibts dazu einen netten Überblick? Die Betonung liegt auf "Zusammenspiel". 

> > Dann müßte dieser doch nur z.B. unter X mit einem inkompatiblen Locale ein
> > Paßwort eingeben und er kann sich auf Console nicht mehr einloggen.
> > Falsch?
> 
> Spitzfindig gesagt, wenn er auf der Console die Bytes eingibt, die Du unter
> einer anderen locale festgelegt hast, kann er sich durchaus einloggen.
> Bereits ausgedruckte Unicode- und ascii-Tabellen sind dabei sicherlich von
> Vorteil, um von Hand umrechnen zu können.

Der User guckt also in die Röhre? Zwangsläufig? Wenn das so ist:
kann man das irgendwo nachlesen?


Nikolaus


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Kroschel]

* Nikolaus Schulz:

> Hm, ja, okay. Aber wer sagt, daß die Codierung 1:1 in der internen
> Datenbank (d.h. /etc/shadow) abgelegt wird?  Sollte man nicht ein
> generisches internes Format erwarten, sowas wie wchar_t oder eben eine
> Unicode-Variante?

Schau mal in die /etc/shadow hinein, da liegen nur verschlüsselte Werte, und
die als ascii. Du müßtest also an dem Punkt ansetzen, wo Dein
Klartext-Passwort verschlüsselt wird, d.h. den String vor dem Verschlüsseln
generell in utf-8 umwandeln. Technisch unmöglich ist das sicherlich nicht,
aber ich sehe es als Zukunftsmusik.

>> > Da ist wohl ein Bugreport fällig. Aber gegen welches Paket? xterm,
>> > passwd? Bin leider nicht so der Hecht was i18n angeht und kann das
>> > nicht so recht einschätzen. Eure Meinung?
>> 
>> Keine Package kann etwas dafür, wenn Du Nicht-ascii-Zeichen unter dem
>> einen Encoding eingibst, aber unter einem anderen abrufst.
> 
> Das Verhalten ist /korrekt/? *schnauf*

Derzeit wäre es wohl ein wishlist-Bug, aber insbesondere auf der Console ist
utf-8 IMHO noch nicht ausgereift genug, als daß ich Hoffnungen habe, daß
jemand so essentielle Dinge wie das Login davon abhängig machen will. Unter
X ist das alles ein wenig enstpannter.

> Gehe ich richtig in der Annahme, daß der Zeichensatz, mit dem die Console
> beim Login arbeitet, nicht vom Locale des jeweiligen Benutzers abhängig
> ist? (Kennt jemand (empfehlenswerte,existierende) Dokumentation dazu?) --

Eine system-locale gilt auch beim login. Nur weiß ich aus dem Kopf gerade
nicht, ob da schon /etc/environment eingelesen wurde.

> Dann müßte dieser doch nur z.B. unter X mit einem inkompatiblen Locale ein
> Paßwort eingeben und er kann sich auf Console nicht mehr einloggen.
> Falsch?

Spitzfindig gesagt, wenn er auf der Console die Bytes eingibt, die Du unter
einer anderen locale festgelegt hast, kann er sich durchaus einloggen.
Bereits ausgedruckte Unicode- und ascii-Tabellen sind dabei sicherlich von
Vorteil, um von Hand umrechnen zu können.

Grüße,
kro
-- 
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
(PGP/GPG 0xCE248A25)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Hallo,

[EMAIL PROTECTED] wrote:
> Umlaute in Passwörtern halte ich für eine gefährliche Sache, was wenn Du es
> auf einer englischen Tastatur eingeben musst?  Oder wenn es über ein System
> eingegeben werden muss, das mit einem anderen Coding arbeitet?

Ist ein gültiges Argument, in meinem Privathaushalt-Szenario aber nicht
wirksam.

[ Rigide Ratschläge in passwd(1) zur Wahl von Paßwörtern ]

Naja, ich neige wohl etwas zu Starrsinn :-) 
Ich sag mal Umlaute=komplex=gut, und wenn keiner sagt "das geht aus den
und den Gründen grundsätzlich nicht, man lese 'man argument(5)'", warum
nicht machen? Und jetzt komme mir keiner mit praktischen Überlegungen
wie "das führt nur zu Schwierigkeiten" :-)

Nikolaus


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Hi!

Andreas Kroschel wrote:
> * Nikolaus Schulz:
> 
> > Console-Keymap ist de-latin1-nodeadkeys, [EMAIL PROTECTED]
> > Jetzt einfach ein uxterm starten, login-Paßwort ändern und einen Umlaut
> > einbauen. Fertig! 
> > Paßwort-Authentifizierung (login, su, sudo) schlägt nun sowohl auf
> > Console als auch im gewöhnlichen xterm garantiert fehl. Funktioniert
> > unter Woody und Sarge.
> 
> Du hast mittels uxterm den Umlaut in seiner 2-Bate-Darstellung laut UTF-8
> eingegeben. Mit iso-8859-15 ist er nur durch ein Byte repräsentiert. Was du
> versuchst, als Passwort einzugeben, ist also etwas anderes, als was Du
> hinterlegt hast. 

Hm, ja, okay. Aber wer sagt, daß die Codierung 1:1 in der internen
Datenbank (d.h. /etc/shadow) abgelegt wird?  Sollte man nicht ein generisches
internes Format erwarten, sowas wie wchar_t oder eben eine
Unicode-Variante?

[...]

> > Da ist wohl ein Bugreport fällig. Aber gegen welches Paket? xterm, passwd? 
> > Bin leider nicht so der Hecht was i18n angeht und kann das nicht so
> > recht einschätzen. Eure Meinung?
> 
> Keine Package kann etwas dafür, wenn Du Nicht-ascii-Zeichen unter dem einen
> Encoding eingibst, aber unter einem anderen abrufst.

Das Verhalten ist /korrekt/? *schnauf*

Gehe ich richtig in der Annahme, daß der Zeichensatz, mit dem die
Console beim Login arbeitet, nicht vom Locale des jeweiligen Benutzers
abhängig ist? (Kennt jemand (empfehlenswerte,existierende) Dokumentation
dazu?) -- Dann müßte dieser doch nur z.B. unter X mit einem
inkompatiblen Locale ein Paßwort eingeben und er kann sich auf Console
nicht mehr einloggen.  Falsch?


Grüße,
Nikolaus


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Pakulat]

On 11.Dec 2004 - 14:24:45, Andreas Pakulat wrote:
> On 11.Dec 2004 - 14:01:59, Nikolaus Schulz wrote:
> > Hallo Liste!
> > Jetzt einfach ein uxterm starten, login-Paßwort ändern und einen Umlaut
> > einbauen. Fertig! 
> 
> Das liegt dann aber an deinem System. Ein in nem xterm gesetztes
> Passwort mit Umlaut in locale [EMAIL PROTECTED] und einloggen auf TTY1 geht
> wunderbar. System ist sid.

Sorry, hab das uxterm überlesen. Das ist natürlich dein Fehler, denn
in uxterm ist UTF-8 die locale und auf der Konsole ist es dann i.A. C.
Überhaupt ist das Einbauen von Umlauten in Passwörter ne reichlich
schlechte Idee.

Andreas

-- 
A vivid and creative mind characterizes you.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Kroschel]

* Nikolaus Schulz:

> Console-Keymap ist de-latin1-nodeadkeys, [EMAIL PROTECTED]
> Jetzt einfach ein uxterm starten, login-PaÃwort Ãndern und einen Umlaut
> einbauen. Fertig! 
> PaÃwort-Authentifizierung (login, su, sudo) schlÃgt nun sowohl auf
> Console als auch im gewÃhnlichen xterm garantiert fehl. Funktioniert
> unter Woody und Sarge.

Du hast mittels uxterm den Umlaut in seiner 2-Bate-Darstellung laut UTF-8
eingegeben. Mit iso-8859-15 ist er nur durch ein Byte reprÃsentiert. Was du
versuchst, als Passwort einzugeben, ist also etwas anderes, als was Du
hinterlegt hast. Eine locale, fÃr die Umlaute nur mit einem Byte
reprÃsentiert sind, liest dann z.B.:

ÃÂ statt Ã
Ãâ statt Ã
ÃÂ statt Ã

Mit Eingabe der Zeichen aus der ersten Spalte wÃrde der Login klappen.

> Da ist wohl ein Bugreport fÃllig. Aber gegen welches Paket? xterm, passwd? 
> Bin leider nicht so der Hecht was i18n angeht und kann das nicht so
> recht einschÃtzen. Eure Meinung?

Keine Package kann etwas dafÃr, wenn Du Nicht-ascii-Zeichen unter dem einen
Encoding eingibst, aber unter einem anderen abrufst.

GrÃÃe,
kro
-- 
Veteran of the Bermuda Triangle Expeditionary Force 1990-1951
(PGP/GPG 0xCE248A25)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Andreas Pakulat]

On 11.Dec 2004 - 14:01:59, Nikolaus Schulz wrote:
> Hallo Liste!
> 
> 
> Beim Experimentieren mit Locales hab ich gerade eine einfache,
> verblüffende Methode gefunden, sich aus dem System auszusperren. 
> 
> Console-Keymap ist de-latin1-nodeadkeys, [EMAIL PROTECTED]
> Jetzt einfach ein uxterm starten, login-Paßwort ändern und einen Umlaut
> einbauen. Fertig! 
> Paßwort-Authentifizierung (login, su, sudo) schlägt nun sowohl auf
> Console als auch im gewöhnlichen xterm garantiert fehl. Funktioniert
> unter Woody und Sarge.

Das liegt dann aber an deinem System. Ein in nem xterm gesetztes
Passwort mit Umlaut in locale [EMAIL PROTECTED] und einloggen auf TTY1 geht
wunderbar. System ist sid.

Andreas

-- 
You will gain money by a fattening action.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: login-Passwort: Unicode vs. Latin1

[Peter . Weiss]

Nikolaus Schulz <[EMAIL PROTECTED]> writes:

> Hallo Liste!
>
> Beim Experimentieren mit Locales hab ich gerade eine einfache,
> verblüffende Methode gefunden, sich aus dem System auszusperren. 
>
> Console-Keymap ist de-latin1-nodeadkeys, [EMAIL PROTECTED]
> Jetzt einfach ein uxterm starten, login-Paßwort ändern und einen Umlaut
> einbauen. Fertig! 
> Paßwort-Authentifizierung (login, su, sudo) schlägt nun sowohl auf
> Console als auch im gewöhnlichen xterm garantiert fehl. Funktioniert
> unter Woody und Sarge.
>
> Da ist wohl ein Bugreport fällig. Aber gegen welches Paket? xterm, passwd? 
> Bin leider nicht so der Hecht was i18n angeht und kann das nicht so
> recht einschätzen. Eure Meinung?
>  [...]

Umlaute in Passwörtern halte ich für eine gefährliche Sache, was wenn Du es
auf einer englischen Tastatur eingeben musst?  Oder wenn es über ein System
eingegeben werden muss, das mit einem anderen Coding arbeitet?

Auf die Schnelle habe ich aus passwd(1) folgendes gefunden:

   [...]
   The user is then prompted for a replacement password.  This password is
   tested for complexity.  As a general guideline, passwords  should  con-
   sist  of 6 to 8 characters including one or more from each of following
   sets:

Lower case alphabetics

Upper case alphabetics

Digits 0 thru 9

Punctuation marks

   Care must be taken not to include the  system  default  erase  or  kill
   characters.  passwd will reject any password which is not suitably com-
   plex.
   [...]

Wahrscheinlich gibt's da noch bessere Definitionen...

Hth -- Peter

-- 
[EMAIL PROTECTED] ConSol* Software GmbH
Phone  +49 89 45841-100   Consulting & Solutions
Mobile +49 177 6040121Franziskanerstr. 38
http://www.consol.de  D-81669 München


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

login-Passwort: Unicode vs. Latin1

[Nikolaus Schulz]

Hallo Liste!


Beim Experimentieren mit Locales hab ich gerade eine einfache,
verblüffende Methode gefunden, sich aus dem System auszusperren. 

Console-Keymap ist de-latin1-nodeadkeys, [EMAIL PROTECTED]
Jetzt einfach ein uxterm starten, login-Paßwort ändern und einen Umlaut
einbauen. Fertig! 
Paßwort-Authentifizierung (login, su, sudo) schlägt nun sowohl auf
Console als auch im gewöhnlichen xterm garantiert fehl. Funktioniert
unter Woody und Sarge.

Da ist wohl ein Bugreport fällig. Aber gegen welches Paket? xterm, passwd? 
Bin leider nicht so der Hecht was i18n angeht und kann das nicht so
recht einschätzen. Eure Meinung?


Grüße,
Nikolaus


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)