Wo seh ich wie und mit welchem Programm passwörter gespeichert und verschlüsselt werden?

Ich wollte jemand meins pw aus der shadow geben, auf dem anderen Rechner konnte ich mich aber nicht mit dem Passwort einloggen.

Gruß

Soweit ich weis, werden die passwd im shadow nicht immer mit MD5 gecryptet, es kann auch RSA sein. Jede distri benutzt einen anderen crypro-schuessel, sogar von version zu version der distry, vareieren sich die schluesseln.

Ich kann mich auch irren ...

Soweit ich weis, werden die passwd im shadow nicht immer mit MD5 gecryptet, es kann auch RSA sein. Jede distri benutzt einen anderen crypro-schuessel, sogar von version zu version der distry, vareieren sich die schluesseln.

Ich kann mich auch irren ...
Das erscheint auch mir spontan die einzigen Lösungen. Bisher habe ich damit keine Probleme gehabt. Meine Passwörter ändere ich immer auf einer "trockenen" Linuxkiste und trage auf allen anderen nur den Hashwert in die Shadow, dabei war es bisher unerheblich, ob es SuSE, Red Hat oder Solaris war.

cu/2 iae

Ich kann mich auch irren ...

tust du.

crypt() verwendet ein modifiziertes DES (salt wurde hinzugefügt), kein RSA.
und die distributionen haben keine eigenen schlüssel weil das passwort (8
7bit-zeichen == 56bit DES-schlüssel) der schlüssel ist.


-j

Das (alte) crypt() (http://www.rt.com/man/crypt.3.html) benutzt das Passwort als Schlüssel, um eine bestimmte Zeichenfolge (lauter 0er?) zu verschlüsseln - doch selbst gleiche Passwörter können unterschiedliche Eintragungen in /etc/shadow erzeugen, da der schon angesprochene salt noch dazukommt (eine zufällige Modifikation des DES-Algorithmus auf eine von 4096 Weisen). Hier machen dann auch Passwörter > 8 Zeichen (= 56 Bit, da nur 7 Bit pro Zeichen genommen werden) keinen Sinn mehr, da immer nur dieser Anfang als Schlüssel genommen wird, sprich wenn ich ein 11-Zeichen Passwort wähle, kann ich mich auch authorisieren, wenn ich nur die ersten 8 Zeichen eingebe ... oder gar, wenn ich mich an den Stellen 9 - 11 verschreibe.

Mittlerweile ist es eine beliebte Methode, crypt() durch md5 zu ersetzen. Festgelegt wird das durch PAM (pluggable authentication modules). Hier hilft evtl. mal ein Blick in die Konfigurationsdateien /etc/pam.d/passwd oder /etc/pam.d/login (bin mir nicht so ganz sicher).

Btw, wenn du von einem Linuxrechner, der crypt() benutzt, das verschlüsselte Passwort aus /etc/shadow herauskopierst und einem anderen User auf einem Rechner, der ebenfalls crypt() verwendet, zuweist, dann haben beide User auch tatsächlich dasselbe Passwort! Der angesprochene salt ist nämlich aus dem verschlüsselten Passwort erkennbar (erste zwei Zeichen), und dann sind die Algorithmen wieder identisch. Man hat den DES-Algorithmus damals nur modifiziert, da sich DES als Schaltkreise mit sehr hoher Geschwindigkeit realisieren lässt (quasi Hardware-Verschlüsselung) und man brute-force Attacken fürchtete. Durch die Modifikation durch den salt war diese Möglichkeit verbaut.
Bubble

Danke fuer die ausfuehrliche Erklaerung. Wieder was dazugelernt.

Gruss Pit.

na RSA wird es nie sein. :D

RSA ist ein public private key verfahren und in der shadow-datei sind hash-werte gespeichert.

der cracker john unterstützt per default z.b.:

Kerberos AFS DES
OpenBSD Blowfish
BSDI DES
Traditional DES
FreeBSD MD5

na RSA wird es nie sein. :D

RSA ist ein public private key verfahren und in der shadow-datei sind hash-werte gespeichert.


hast du eigentlich mal den thread gelesen? wenn ich crypt() verwende stehen in der shadow keine haswerte weil crypt() keinen hashalgorithmus verwendet.
und warum du meinst, man könne für diesen zweck kein RSA einsetzen ist mir schleierhaft.


-j