Saya dapat menghilangkan beberapa karakter terakhir kata sandi saya di Ubuntu 14.04

27

Kami memiliki Ubuntu 14.04.3 LTS di PC lab kami di kampus saya. Saya perhatikan ada bug serius hari ini.

Saya dapat melewati beberapa karakter terakhir kata sandi saya dan tetap masuk dengan lancar. Misalnya, jika kata sandi saya a1b2c3d4e5f6g7h8, saya bisa mengetik a1b2c3d4edan masih login. Banyak orang lain juga memperhatikan bug ini.

Perhatikan bahwa kata sandi tidak dapat dilewati seluruhnya - maksimum yang dapat saya lewati adalah 7 karakter. Jika saya mencoba melewati lagi, pesan " Kata sandi salah, silakan coba lagi " muncul. Perhatikan juga bahwa permutasi acak dari substring kata sandi tidak berfungsi.

Ini juga terjadi jika saya mengunci layar secara manual dan memasukkan kata sandi lagi. Bug yang sama hadir saat menggunakan sshdan baik, googling dan mencari Stack Overflow tidak membantu.

Pertanyaan saya adalah - bagaimana cara saya memperbaiki bug ini, jika saya dapat memperbaikinya? Sistem kami tidak akan tersedia sebelum hari Senin, dan ini benar-benar mengganggu saya.

PENTING: Perhatikan bahwa tidak ada akun siswa di daftar sudoers, hanya sysadm yang memiliki akses root. Juga, berikut ini muncul ketika saya sshmasuk ke akun saya sendiri:

Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.13.0-65-generic i686)

* Documentation:  https://help.ubuntu.com/

543 packages can be updated.
350 updates are security updates.

New release '16.04.1 LTS' available.
Run 'do-release-upgrade' to upgrade to it.

UPDATE: Sepertinya masalah penting bukanlah jumlah karakter yang dihilangkan di akhir, tetapi kenyataan bahwa adalah mungkin untuk login dengan delapan karakter pertama atau lebih dari kata sandi.

Dimitri Markovich
sumber
2
Saya menduga beberapa otentikasi eksternal (LDAP, Active Directory, dll) salah dan tidak memvalidasi kata sandi dengan benar. Bicaralah dengan administrator sistem Anda.
André Borie
8
350 pembaruan keamanan tersedia. Salah satunya mungkin memperbaiki bug Heartbleed juga
AnthumChris
4
Sysadmin Anda tampaknya tidak tersedia selama berbulan-bulan ...
Michael Hampton

Jawaban:

28

Jika Anda tidak memiliki akses administrator, tidak banyak yang dapat Anda lakukan.

Yang mengatakan, ini tampaknya karena ketidakmampuan administrator. Ini terdengar mirip dengan enkripsi kata sandi menggunakan crypt(3)fungsi klasik . Dari man 3 crypt:

crypt () adalah fungsi enkripsi kata sandi. Ini didasarkan pada Data
Algoritma standar enkripsi dengan variasi yang dimaksudkan (antara lain
hal-hal) untuk mencegah penggunaan implementasi perangkat keras dari suatu pencarian kunci.

kunci adalah kata sandi yang diketik pengguna.

salt adalah string dua karakter yang dipilih dari set [a-zA-Z0-9./]. Ini
string digunakan untuk mengganggu algoritme dengan salah satu dari 4.096 cara yang berbeda.

Dengan mengambil 7 bit terendah dari masing-masing delapan karakter pertama
kuncinya, kunci 56-bit diperoleh.   Kunci 56-bit ini digunakan untuk mengenkripsi
berulang kali string konstan (biasanya string terdiri dari semuanya)
nol). Nilai yang dikembalikan menunjuk ke kata sandi terenkripsi, satu seri
13 karakter ASCII yang dapat dicetak (dua karakter pertama mewakili
garam itu sendiri). Nilai kembali menunjuk ke data statis yang isinya
ditimpa oleh setiap panggilan.

Apakah itu terdengar familier?

Tidak ada sistem Ubuntu terbaru yang menggunakan ini secara default. Administrator Anda harus secara manual mengkonfigurasi pengaturan kata sandi untuk menggunakan ini. Atau, mereka mungkin menggunakan otentikasi eksternal (LDAP, atau serupa) dan tidak atau tidak dapat mengonfigurasi itu dengan aman.

Lihat juga: Apakah kata sandi pada sistem Unix / Linux modern masih terbatas pada 8 karakter?

muru
sumber
4
Maka admin kemungkinan besar menggunakan LDAP ..... Saya akan mencoba menghubunginya. Terima kasih!
Dimitri Markovich
1
OP selanjutnya dapat mengkonfirmasi ini dengan melihat apakah membalik bit ke-8 dari salah satu dari 8 karakter pertama membuat perbedaan. Mungkin sulit dilakukan di lingkungan UTF-8.
Jonas Schäfer
@JonasWielicki - Membalik bit ke-8 dari delapan karakter pertama TIDAK membuat perbedaan - kata sandi ditampilkan tidak valid. Jadi saya hanya bisa menggunakan delapan karakter pertama atau lebih dari kata sandi asli saya.
Dimitri Markovich
@ die-policy137 Seperti yang disebutkan, saya kira sulit untuk membalik hanya bit kedelapan – dengan UTF-8, ini akan menghasilkan dua byte yang digunakan alih-alih satu untuk menyandikan codepoint. Jadi ini bukan tes yang pasti, sayangnya, kecuali jika seseorang berada dalam kontrol yang sangat ketat atas pengkodean yang digunakan oleh terminal dan / atau data yang dikirim untuk otentikasi.
Jonas Schäfer
7

Ada suatu masa, dalam milenium sebelumnya, ketika semua Unixen mengenkripsi kata sandi mereka dengan cara ini. Buang segala sesuatu di luar karakter kedelapan, tambahkan garam, jatuhkan fungsi hash dan lakukan.

Pertanyaan besar di sini adalah apakah kata sandi terenkripsi tersedia untuk peretas potensial. Jika ya, ini masalah besar. Jika tidak, itu bukan masalah besar. Kata sandi delapan karakter memiliki banyak kemungkinan. Jika Anda harus melakukan upaya login yang sebenarnya untuk memeriksa kata sandi potensial, maka pembobolan akan memakan waktu lama. Juga, upaya akan memicu alarm.

Jadi, kemenangan besar di sini adalah kata sandi bayangan. Namun, orang-orang mulai berpikir bahwa ini tidak cukup baik dan setiap varian Unix menerapkan cara mereka sendiri untuk memperpanjang panjang kata sandi maksimum. Ini tidak lagi kompatibel.

Untuk sementara, jika Anda ingin beberapa mesin dengan varian Unix yang berbeda menggunakan kata sandi yang sama, Anda harus menggunakan jenis enkripsi yang lama.

Sangat mungkin bahwa ketika laboratorium komputer ini pertama kali didirikan itu masih terjadi. Dan jenis pengaturan ini memiliki kelembaman. Klien baru diatur agar sesuai dengan server. Server baru diatur untuk mencocokkan klien.

Hari ini, semuanya lebih baik. Ada lebih sedikit varian Unix yang digunakan, dan mereka bekerja sama dengan lebih baik.

Saya tidak cukup kompeten untuk memberi tahu Anda cara memperbaikinya, tetapi ini adalah tugas admin, bukan untuk Anda.

Stig Hemmer
sumber
Baiklah kalau begitu .... Saya berharap saya bisa melakukan sesuatu.
Dimitri Markovich
"Unixen" di atas "Unicies"? Belum pernah mendengar yang sebelumnya, sentuhan yang bagus
kucing
1
@cat Tampaknya portmanteau dari Unix dan boxen .
Michael Hampton
2
Karena Unix adalah kata yang dibuat-buat, bentuk jamak juga dapat dibuat :)
Thorbjørn Ravn Andersen
Eight characters passwords has a lot of possibilities.Untuk entropi kata sandi , Anda menganggap penyerang tahu bagaimana Anda menghasilkan kata sandi. Jika Anda menggunakan kata-kata acak , paling banyak Anda akan mendapatkan 2 kata atau 22 bit entropi.
NonlinearFruit