نویسنده موضوع: مگه پسورد های کاربرا توی اوبونتو هش نمیشه ؟ (مهم) (دفعات بازدید: 1454 بار)

Masoud92m · « : 18 تیر 1393، 06:32 ب‌ظ »

امروز داشتم پسورد اوبوتو 14.04 رو عوض میکردم با این دستور:

passwd
تا جایی که میدونم این دستور پسورد یوزر فعلی رو عوض میکنه و منطقا برای عوض کردن پسورد خودم نیاز به root نیست، البته قبلا هم پسوردم رو با این دستور عوض کردم ولی چیز عجیب اینبار:

کد: [انتخاب]

Retype new UNIX password: 
Bad: new and old password must differ by more than just case

بله ! پسورد من با پسورد قبلی فقط در یک حرف تفاوت داشته اما در صورت هش شدن چطور فهمیده که پسورد فقط در یک حرف تفاوت داره، یادمه قبلا این مورد برای فیسبوک بوده و نقل و قول از جناب جادی:

نقل‌قول

و در ادامه فیسبوک ها یک نامه هم از آدینا داریم… نکته جالبی رو می گه. اسکرین شاتی از اینکه پسوردش رو فقط با یک کاراکتر اشتباه تایپ کرده و فیسبوک بهش گفته «ظاهرا یک اشتباه تایپی داری. لطفا دوباره سعی کن» بازم بحث هش! اگر فیسبوک پسوردها رو هش می کنه چطوری اینو گفته؟ می دونیم که هش دو تا چیز شبیه هیچ شباهتی به همدیگه نداره پس اگر فیسبوک پسوردها رو هش می کنه چطوری می تونه بگه فقط یک کاراکتر رو اشتباه تایپ کردین؟ اگر هم هش نمی کنه که خب مگه می شه که دیگه واقعا فیسبوقه! ممنون آدیتا نکته جالبی بود.

منبع

در ادامه جواب جالب تری هم گرفتم:

کد: [انتخاب]

Retype new UNIX password: 
Bad: new and old password are too similar

در نهایت با انتخاب پسوردی که تفاوت زیادی با پسورد قبلی داشت پسورد عوض شد !
نکته: هنگام استفاده از روت برای تعویض پسورد یوزر این موارد وجود نداره و پسورد بدون هیچ مسئله ای تغییر می کنه .

میدونم احتمال اینکه اوبونتو مشکل امنیتی داشته باشه بسیار پایینه، اما این چیه دقیقا ؟ یک مورد ساده راجع به هش یا گنو/لینوکس که من ازش بی خبرم یا ... ؟

abedzadeh · « **پاسخ #1 :** 18 تیر 1393، 09:33 ب‌ظ »

منم چنین چیزی توی فدورا برام پیش اومد ولی دقت نکردم
فدورا 20 هم دقیقا همینطوره
اگه پسورد هش نشه یعنی یه جایی به صورت فایل متنی ذخیره میشه ، نه ؟

elyas74 · « **پاسخ #2 :** 18 تیر 1393، 10:38 ب‌ظ »

- پسوورد ها در فایل shadow در پوشه etc ، هش میشن.

abedzadeh · « **پاسخ #3 :** 18 تیر 1393، 11:51 ب‌ظ »

نقل‌قول از: elyas74 در 18 تیر 1393، 10:38 ب‌ظ

- پسوورد ها در فایل shadow در پوشه etc ، هش میشن.

خوب پس چطور تشخیص میده که رمز جدید ، شبیه به رمز قبلی هست ؟
از روی هش که نمیشه فهمید

elyas74 · « **پاسخ #4 :** 19 تیر 1393، 12:00 ق‌ظ »

- جالبه به این مورد فکر نکرده بودم تا حالا

، نمیدونم قضیه چیه

B · « **پاسخ #5 :** 19 تیر 1393، 12:10 ق‌ظ »

این ها را بخوانید جوانان

http://security.stackexchange.com/questions/3170/how-can-a-system-enforce-a-minimum-number-of-changed-characters-in-passwords-wi

http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html

nixoeen · « **پاسخ #6 :** 19 تیر 1393، 12:12 ق‌ظ »

ابتدا گذرواژه‌ای که در حال حاضر دارید رو ازتون می‌پرسه، اون رو در حافظه نگه می‌داره و سپس گذرواژه جدید رو می‌پرسه، اون رو هم در حافظه نگه می‌داره، در صورتی که گذرواژه‌ها شبیه نبودند، گذرواژه جدید رو هش می‌کنه، اون رو در فایل shadow ذخیره می‌کنه و سپس گذرواژه‌هایی که در حافظه نگه‌ داشته شده رو از حافظه پاک می‌کنه.

B · « **پاسخ #7 :** 19 تیر 1393، 12:16 ق‌ظ »

نقل‌قول از: nixoeen در 19 تیر 1393، 12:12 ق‌ظ

ابتدا گذرواژه‌ای که در حال حاضر دارید رو ازتون می‌پرسه، اون رو در حافظه نگه می‌داره و سپس گذرواژه جدید رو می‌پرسه، اون رو هم در حافظه نگه می‌داره، در صورتی که گذرواژه‌ها شبیه نبودند، گذرواژه جدید رو هش می‌کنه، اون رو در فایل shadow ذخیره می‌کنه و سپس گذرواژه‌هایی که در حافظه نگه‌ داشته شده رو از حافظه پاک می‌کنه.

اینطوری مشکل امنیتی پیش نمیاد؟!

nixoeen · « **پاسخ #8 :** 19 تیر 1393، 12:20 ق‌ظ »

خیر. هر بار که شما گذرواژه‌تون رو می‌نویسید، اون به حافظه رم منتقل می‌شه.

Masoud92m · « **پاسخ #9 :** 19 تیر 1393، 12:22 ق‌ظ »

نقل‌قول از: nixoeen در 19 تیر 1393، 12:12 ق‌ظ

ابتدا گذرواژه‌ای که در حال حاضر دارید رو ازتون می‌پرسه، اون رو در حافظه نگه می‌داره و سپس گذرواژه جدید رو می‌پرسه، اون رو هم در حافظه نگه می‌داره، در صورتی که گذرواژه‌ها شبیه نبودند، گذرواژه جدید رو هش می‌کنه، اون رو در فایل shadow ذخیره می‌کنه و سپس گذرواژه‌هایی که در حافظه نگه‌ داشته شده رو از حافظه پاک می‌کنه.

عملی و منطقی و هوشمندانه به نظر میرسه، متشکرم

انجمن‌های فارسی اوبونتو