PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Passwörter zu schnell eingeben == Sicherheitslücke



kshade
31.05.06, 17:43
Moin,

vielleicht ist es euch schon mal aufgefallen: Hin und wieder ist man beim Passwort-Eintippen schneller bei der Sache als der Computer. Das sieht dann so aus:
host login: kshade
stPassword:
Man beachte das "st", das noch zum Passwort gehört. su hat ähnliche Probleme.

Kann man dagegen was machen? Ich vermute die Denkpause kommt daher, dass agetty erstmal prüft ob der User auch existiert und dafür eventuell die Festplatte anwerfen muss, was schonmal dauern kann. Besser wäre wohl wenn Passwort und Benutzername zusammen geprüft würden, auch um keine Anhaltspunkte zu geben welche User wirklich existieren oder nicht, wie bei ssh.

stefan-tiger
31.05.06, 18:10
Du hast recht, daß passiert mich häufig, auch bei langen Passwörtern.

Danach geb ich immer "clear" ein, aber im Grunde nervt es.

sirmoloch
31.05.06, 19:34
Wenn du fehlerhafte Bedienung als Sicherheitslücke bezeichnest, dann sollten PCs für Menschen verboten werden...

login fordert dich auf deinen Benutzernamen einzugeben, mehr nicht. Du hälst dich nicht an diese einfache Anweisung, sondern tippst weiter. Selbst schuld. Würdest du die Abfrage nicht auswendig kennen, würdest du auch nicht weitertippen, sondern warten bis du gefragt wirst.

Das hat irgendwas von PEBKAC. :p

PS: Mir passiert(e) das auch regelmäßig. Irgendwann gewöhnt man sich das Warten an, glaubs mir. ;)

kshade
31.05.06, 20:04
@sirmoloch: Fehlbedienung? Nein. Software sollte voraussebar zu bedienen sein und dem User keine Steine in den Weg legen. Normaler Weise kann ich Name & Passwort in einem Rutsch eintippen, nur manchmal eben nicht.

Und auf den Prompt warte ich für gewöhnlich auch. Spätestens nachdem mein Sitznachbar mal nen blöden Kommentar über das Kennwort abgegeben hat :ugly:

HEMIcuda
31.05.06, 21:16
Click (http://de.wikipedia.org/wiki/Atomare_Operation) und Click (http://de.wikipedia.org/wiki/Scheduling)

'cuda

kshade
31.05.06, 21:50
Hab ein bischen nachgeforscht. Agetty übernimmt nur den hostname login: part, Password: kommt schon von login. Das erklärt zumindest die Verzögerung bei abgeschalteter Festplatte.

Click (http://de.wikipedia.org/wiki/Atomare_Operation) und Click (http://de.wikipedia.org/wiki/Scheduling)Einen Hinweis bitte was du damit konkret sagen willst, ich bin dumm und wills nicht durch falsches Ins-Blaue-Hineinraten für jeden offensichtlich machen ;)

HEMIcuda
31.05.06, 21:55
Nicht-atomare Operationen koennen jederzeit durch den Scheduler unterbrochen werden. Wenn in diesem Zeitfenster Eingaben vorgenommen werden, die nicht zwangslaeufig durch das gewuenschte Programm bearbeitet werden, kommt es zu den bemaengelten Effekten.

'cuda

BSM
05.06.06, 18:50
Viel schlimmer ist sudo... unter Ubuntu ist man etwa 10minuten später noch angemeldet und kann ohne PW Befehle ausführen, da ich su jedoch gewohnt bin kommt immer sofort das passwort nach dem su...

.bash_history shreddern ist nervig.

-robert

MiGo
09.06.06, 11:54
Viel schlimmer ist sudo... unter Ubuntu ist man etwa 10minuten später noch angemeldet und kann ohne PW Befehle ausführen,
Nur solange das Terminal noch offen ist. Und das Verhalten ist beabsichtigt, die Zeit, die sudo nicht nochmals nach einem Passwort fragt, kannst du in der Datei /etc/sudoers mit dem Parameter

timestamp_timeout
Number of minutes that can elapse before sudo will ask for a passwd again. The default is 5. Set this to 0 to always prompt for a password. If set to a value less than 0 the user's timestamp will never expire. This can be used to allow users to create or delete their own timestamps via sudo -v and sudo -k respectively.
beeinflussen.

caspartroy
09.06.06, 22:06
offensichtlich gehen die zeichen von der tastatur direkt zur grafikkarte?
wenn das nicht der fall ist, ist es doch eine implementierungs-schwäche, der zeichen-ausgabe prozess sollte nach der username eingabe sofort blockieren.

HEMIcuda
09.06.06, 22:13
Noe. Warum sollte er das?

'cuda

stefan.becker
09.06.06, 22:17
offensichtlich gehen die zeichen von der tastatur direkt zur grafikkarte?

Monitor mit PS/2 Anschluss?

munkmill
09.06.06, 22:19
USB machts auch ;)

caspartroy
09.06.06, 22:23
Noe. Warum sollte er das?

'cuda
weil die zeichen dann nicht sichtbar wären z.B.? und warum sollte er das nicht?

kshade
09.06.06, 22:30
Frag' ich mich auch gerade. Kennt zufällig jemand eine art Anmeldemanager, der nur Login und Passwort an die entsprechenden Programme weiterleitet? Sollte allerdings nicht quingy sein.