Tenemos Ubuntu 14.04.3 LTS en nuestras PC de laboratorio en mi universidad. He notado un error grave hoy.
Puedo omitir los últimos caracteres de mi contraseña e iniciar sesión sin problemas. Por ejemplo, si mi contraseña es a1b2c3d4e5f6g7h8
, puedo escribir a1b2c3d4e
y aún iniciar sesión. Muchas otras personas también han notado este error.
Tenga en cuenta que la contraseña no se puede omitir por completo: el máximo que he podido omitir es de 7 caracteres. Si intento omitir más, aparece el mensaje " Contraseña no válida, inténtelo de nuevo ". También tenga en cuenta que cualquier permutación aleatoria de una subcadena de la contraseña no funciona.
Esto también sucede si bloqueo la pantalla manualmente y vuelvo a ingresar la contraseña. El mismo error está presente durante el uso ssh
y bueno, buscar y buscar en Google Stack Overflow no ayudó.
Mi pregunta es: ¿cómo puedo solucionar este error, si es que puedo solucionarlo? Nuestro sistema no estará disponible antes del lunes, y esto realmente me preocupa.
IMPORTANTE: Tenga en cuenta que ninguna de las cuentas de los estudiantes está en la lista de sudoers, solo sysadm tiene acceso de root. Además, lo siguiente aparece cuando ingreso ssh
a mi propia cuenta:
Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.13.0-65-generic i686)
* Documentation: https://help.ubuntu.com/
543 packages can be updated.
350 updates are security updates.
New release '16.04.1 LTS' available.
Run 'do-release-upgrade' to upgrade to it.
ACTUALIZACIÓN: Parece que el problema importante no es la cantidad de caracteres omitidos al final, sino el hecho de que es posible iniciar sesión con los primeros ocho o más caracteres de la contraseña.
Respuestas:
Si no tiene acceso de administrador, no hay mucho que pueda hacer.
Dicho esto, esto parece ser debido a la incompetencia del administrador. Esto suena sospechosamente similar al cifrado de contraseña con la
crypt(3)
función clásica . Deman 3 crypt
:¿Te suena familiar?
Ningún sistema Ubuntu reciente usa esto por defecto. Su administrador debe haber configurado manualmente la configuración de contraseña para usar esto. O bien, podrían estar utilizando autenticación externa (LDAP o similar) y no pudieron o no pudieron configurarlo de manera segura.
Ver también: ¿Las contraseñas en los sistemas Unix / Linux modernos todavía están limitadas a 8 caracteres?
fuente
Hubo un tiempo, en un milenio anterior, cuando todos los Unixen cifraron sus contraseñas de esta manera. Descarte todo más allá del octavo carácter, agregue sal, pase por una función hash y listo.
La gran pregunta aquí es si las contraseñas cifradas están disponibles para posibles piratas informáticos. Si lo son, este es un gran problema. Si no lo son, realmente no es gran cosa. Las contraseñas de ocho caracteres tienen muchas posibilidades. Si tiene que hacer un intento de inicio de sesión real para verificar una contraseña potencial, la intrusión llevará mucho tiempo. Además, los intentos activarán alarmas.
Entonces, la gran victoria aquí son las contraseñas ocultas. Aún así, la gente comenzó a pensar que esto no era lo suficientemente bueno y que cada variante de Unix implementaba su propia forma de extender la longitud máxima de la contraseña. Estos ya no eran compatibles.
Durante un tiempo, si quería que varias máquinas con diferentes variantes de Unix usaran la misma contraseña, tenía que usar el tipo de cifrado anterior.
Es muy posible que cuando se instalaron estos laboratorios de computación, ese fuera el caso. Y este tipo de configuración tiene inercia. Se configuran nuevos clientes para que coincidan con el servidor. Se configuran nuevos servidores para que coincidan con los clientes.
Hoy las cosas están mejor. Hay menos variantes de Unix en uso, y cooperan mejor.
No soy lo suficientemente competente para decirte cómo solucionar esto, pero es una tarea para el administrador, no para ti.
fuente
Eight characters passwords has a lot of possibilities.
Para la entropía de contraseñas , asume que el atacante sabe cómo generar contraseñas. Si usa palabras aleatorias , como máximo obtendrá 2 palabras o 22 bits de entropía.