Kami memiliki Ubuntu 14.04.3 LTS di PC lab kami di kampus saya. Saya perhatikan ada bug serius hari ini.
Saya dapat melewati beberapa karakter terakhir kata sandi saya dan tetap masuk dengan lancar. Misalnya, jika kata sandi saya a1b2c3d4e5f6g7h8
, saya bisa mengetik a1b2c3d4e
dan masih login. Banyak orang lain juga memperhatikan bug ini.
Perhatikan bahwa kata sandi tidak dapat dilewati seluruhnya - maksimum yang dapat saya lewati adalah 7 karakter. Jika saya mencoba melewati lagi, pesan " Kata sandi salah, silakan coba lagi " muncul. Perhatikan juga bahwa permutasi acak dari substring kata sandi tidak berfungsi.
Ini juga terjadi jika saya mengunci layar secara manual dan memasukkan kata sandi lagi. Bug yang sama hadir saat menggunakan ssh
dan baik, googling dan mencari Stack Overflow tidak membantu.
Pertanyaan saya adalah - bagaimana cara saya memperbaiki bug ini, jika saya dapat memperbaikinya? Sistem kami tidak akan tersedia sebelum hari Senin, dan ini benar-benar mengganggu saya.
PENTING: Perhatikan bahwa tidak ada akun siswa di daftar sudoers, hanya sysadm yang memiliki akses root. Juga, berikut ini muncul ketika saya ssh
masuk ke akun saya sendiri:
Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.13.0-65-generic i686)
* Documentation: https://help.ubuntu.com/
543 packages can be updated.
350 updates are security updates.
New release '16.04.1 LTS' available.
Run 'do-release-upgrade' to upgrade to it.
UPDATE: Sepertinya masalah penting bukanlah jumlah karakter yang dihilangkan di akhir, tetapi kenyataan bahwa adalah mungkin untuk login dengan delapan karakter pertama atau lebih dari kata sandi.
Jawaban:
Jika Anda tidak memiliki akses administrator, tidak banyak yang dapat Anda lakukan.
Yang mengatakan, ini tampaknya karena ketidakmampuan administrator. Ini terdengar mirip dengan enkripsi kata sandi menggunakan
crypt(3)
fungsi klasik . Dariman 3 crypt
:Apakah itu terdengar familier?
Tidak ada sistem Ubuntu terbaru yang menggunakan ini secara default. Administrator Anda harus secara manual mengkonfigurasi pengaturan kata sandi untuk menggunakan ini. Atau, mereka mungkin menggunakan otentikasi eksternal (LDAP, atau serupa) dan tidak atau tidak dapat mengonfigurasi itu dengan aman.
Lihat juga: Apakah kata sandi pada sistem Unix / Linux modern masih terbatas pada 8 karakter?
sumber
Ada suatu masa, dalam milenium sebelumnya, ketika semua Unixen mengenkripsi kata sandi mereka dengan cara ini. Buang segala sesuatu di luar karakter kedelapan, tambahkan garam, jatuhkan fungsi hash dan lakukan.
Pertanyaan besar di sini adalah apakah kata sandi terenkripsi tersedia untuk peretas potensial. Jika ya, ini masalah besar. Jika tidak, itu bukan masalah besar. Kata sandi delapan karakter memiliki banyak kemungkinan. Jika Anda harus melakukan upaya login yang sebenarnya untuk memeriksa kata sandi potensial, maka pembobolan akan memakan waktu lama. Juga, upaya akan memicu alarm.
Jadi, kemenangan besar di sini adalah kata sandi bayangan. Namun, orang-orang mulai berpikir bahwa ini tidak cukup baik dan setiap varian Unix menerapkan cara mereka sendiri untuk memperpanjang panjang kata sandi maksimum. Ini tidak lagi kompatibel.
Untuk sementara, jika Anda ingin beberapa mesin dengan varian Unix yang berbeda menggunakan kata sandi yang sama, Anda harus menggunakan jenis enkripsi yang lama.
Sangat mungkin bahwa ketika laboratorium komputer ini pertama kali didirikan itu masih terjadi. Dan jenis pengaturan ini memiliki kelembaman. Klien baru diatur agar sesuai dengan server. Server baru diatur untuk mencocokkan klien.
Hari ini, semuanya lebih baik. Ada lebih sedikit varian Unix yang digunakan, dan mereka bekerja sama dengan lebih baik.
Saya tidak cukup kompeten untuk memberi tahu Anda cara memperbaikinya, tetapi ini adalah tugas admin, bukan untuk Anda.
sumber
Eight characters passwords has a lot of possibilities.
Untuk entropi kata sandi , Anda menganggap penyerang tahu bagaimana Anda menghasilkan kata sandi. Jika Anda menggunakan kata-kata acak , paling banyak Anda akan mendapatkan 2 kata atau 22 bit entropi.