انجمنهای فارسی اوبونتو
کمک و پشتیبانی => انجمن عمومی => نویسنده: Masoud92m در 18 تیر 1393، 06:32 بظ
-
امروز داشتم پسورد اوبوتو 14.04 رو عوض میکردم با این دستور:
passwd
تا جایی که میدونم این دستور پسورد یوزر فعلی رو عوض میکنه و منطقا برای عوض کردن پسورد خودم نیاز به root نیست، البته قبلا هم پسوردم رو با این دستور عوض کردم ولی چیز عجیب اینبار:
Retype new UNIX password:
Bad: new and old password must differ by more than just case
بله ! پسورد من با پسورد قبلی فقط در یک حرف تفاوت داشته اما در صورت هش شدن چطور فهمیده که پسورد فقط در یک حرف تفاوت داره، یادمه قبلا این مورد برای فیسبوک بوده و نقل و قول از جناب جادی:
و در ادامه فیسبوک ها یک نامه هم از آدینا داریم… نکته جالبی رو می گه. اسکرین شاتی از اینکه پسوردش رو فقط با یک کاراکتر اشتباه تایپ کرده و فیسبوک بهش گفته «ظاهرا یک اشتباه تایپی داری. لطفا دوباره سعی کن» بازم بحث هش! اگر فیسبوک پسوردها رو هش می کنه چطوری اینو گفته؟ می دونیم که هش دو تا چیز شبیه هیچ شباهتی به همدیگه نداره پس اگر فیسبوک پسوردها رو هش می کنه چطوری می تونه بگه فقط یک کاراکتر رو اشتباه تایپ کردین؟ اگر هم هش نمی کنه که خب مگه می شه که دیگه واقعا فیسبوقه! ممنون آدیتا نکته جالبی بود.
منبع (http://jadi2.undo.it/2012/10/radio-geek-hash-hash-hash/)
در ادامه جواب جالب تری هم گرفتم:
Retype new UNIX password:
Bad: new and old password are too similar
در نهایت با انتخاب پسوردی که تفاوت زیادی با پسورد قبلی داشت پسورد عوض شد !
نکته: هنگام استفاده از روت برای تعویض پسورد یوزر این موارد وجود نداره و پسورد بدون هیچ مسئله ای تغییر می کنه .
میدونم احتمال اینکه اوبونتو مشکل امنیتی داشته باشه بسیار پایینه، اما این چیه دقیقا ؟ یک مورد ساده راجع به هش یا گنو/لینوکس که من ازش بی خبرم یا ... ؟
-
منم چنین چیزی توی فدورا برام پیش اومد ولی دقت نکردم
فدورا 20 هم دقیقا همینطوره
اگه پسورد هش نشه یعنی یه جایی به صورت فایل متنی ذخیره میشه ، نه ؟
-
- پسوورد ها در فایل shadow در پوشه etc ، هش میشن.
-
- پسوورد ها در فایل shadow در پوشه etc ، هش میشن.
خوب پس چطور تشخیص میده که رمز جدید ، شبیه به رمز قبلی هست ؟
از روی هش که نمیشه فهمید
-
- جالبه به این مورد فکر نکرده بودم تا حالا ???، نمیدونم قضیه چیه ;)
-
این ها را بخوانید جوانان :D
http://security.stackexchange.com/questions/3170/how-can-a-system-enforce-a-minimum-number-of-changed-characters-in-passwords-wi
http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html
-
ابتدا گذرواژهای که در حال حاضر دارید رو ازتون میپرسه، اون رو در حافظه نگه میداره و سپس گذرواژه جدید رو میپرسه، اون رو هم در حافظه نگه میداره، در صورتی که گذرواژهها شبیه نبودند، گذرواژه جدید رو هش میکنه، اون رو در فایل shadow ذخیره میکنه و سپس گذرواژههایی که در حافظه نگه داشته شده رو از حافظه پاک میکنه.
-
ابتدا گذرواژهای که در حال حاضر دارید رو ازتون میپرسه، اون رو در حافظه نگه میداره و سپس گذرواژه جدید رو میپرسه، اون رو هم در حافظه نگه میداره، در صورتی که گذرواژهها شبیه نبودند، گذرواژه جدید رو هش میکنه، اون رو در فایل shadow ذخیره میکنه و سپس گذرواژههایی که در حافظه نگه داشته شده رو از حافظه پاک میکنه.
اینطوری مشکل امنیتی پیش نمیاد؟!
-
خیر. هر بار که شما گذرواژهتون رو مینویسید، اون به حافظه رم منتقل میشه.
-
ابتدا گذرواژهای که در حال حاضر دارید رو ازتون میپرسه، اون رو در حافظه نگه میداره و سپس گذرواژه جدید رو میپرسه، اون رو هم در حافظه نگه میداره، در صورتی که گذرواژهها شبیه نبودند، گذرواژه جدید رو هش میکنه، اون رو در فایل shadow ذخیره میکنه و سپس گذرواژههایی که در حافظه نگه داشته شده رو از حافظه پاک میکنه.
عملی و منطقی و هوشمندانه به نظر میرسه، متشکرم