OpenWrt'in root şifresinin maksimum uzunluğu neden 8 karakterdir?


29

Şifresini ayarlamaya çalıştığımda root:

root@OpenWrt:~# passwd
Changing password for root
Enter the new password (minimum of 5, maximum of 8 characters)
Please use a combination of upper and lower case letters and numbers.

Maksimum uzunluk 8 gibi görünüyor. 8'den daha uzun bir şifre ayarlamaya çalışırsam, sadece ilk 8 karakter geçerlidir. Daha uzun bir şifreyi nasıl ayarlayabilirim root?

OpenWrt versiyonum:

Linux OpenWrt 4.14.108 #0 SMP Wed Mar 27 21:59:03 2019 x86_64 GNU/Linux

Yanıtlar:


35

Bunun nedeni DES tabanlı şifrenin (AKA 'descrypt') şifreleri 8 baytta kısaltması ve yalnızca ilk 8'i şifre doğrulama amacıyla kontrol etmesidir.

Doğrudan sorunuzun cevabı budur, ancak işte bağlamınız tarafından ima edilen bazı genel tavsiyeler:

  • Neyse ki, benim okuma, MD5içinde /etc/login.defsbiraz modası geçmiş iken, md5crypt ($ 1 $), aslında ve yazarı tarafından kaldırılmış ilan , DES tabanlı crypt hala üstündür (ve kesinlikle düz gibi çiğ, tuzsuz karma daha iyi MD5! Çoğu tuzsuz karma, emtia GPU'larında saniyede milyarlarca kırılabilir

  • Görünüşe göre SHA256(aslında sha256crypt) ve SHA512(aslında sha512crypt) da var. Bunun yerine onlardan birini seçerdim.

  • Eğer şifre ayarlarsanız passwordher plan çerçevesinde falan, görsel -CRYPT varyantları doğru olduğunu onlar olduğunu benim sonuç olup olmadığını kontrol edebilirsiniz (örnekler buradan alınır hashcat örnek hash bazıları için sarılmış, hepsi 'hashcat', okunabilirliği):

Tavsiye edilmez - tuzsuz veya eski hash tipleri, şifre saklama için çok fazla "hızlı" (çatlama oranları):

MD5         - 8743b52063cd84097a65d1633f5c74f5
SHA256      - 127e6fbfe24a750e72930c220a8e138275656b8e5d8f48a98c3c92df2caba935
SHA512      - 82a9dda829eb7f8ffe9fbe49e45d47d2dad9664fbb7adf72492e3c81ebd3e2 \
              9134d9bc12212bf83c6840f10e8246b9db54a4859b7ccd0123d86e5872c1e5082f
descrypt    - 48c/R8JAv757A

Tamam - tuzsuzdan çok daha iyi, kesik değil, ancak modern donanım üzerindeki kaba kuvvete artık yeterince dayanıklı değil:

md5crypt    - $1$28772684$iEwNOgGugqO9.bIz5sk8k/

Daha iyi - büyük tuzlara ve iş faktörlerine sahip nispeten modern karmalar:

sha256crypt - $5$rounds=5000$GX7BopJZJxPc/KEK$le16UF8I2Anb.rOrn22AUPWvzUETDGefUmAV8AZkGcD
sha512crypt - $6$52450745$k5ka2p8bFuSmoVT1tzOyyuaREkkKBcCNqoDKzYiJL9RaE8yMnPgh2XzzF0NDrUhgrcLwg78xs1w5pJiypEdFX/

Bunlardan yalnızca şifreyi 8'de keser. Son ikisi en iyisidir.

(Not: yukarıdaki md5crypt ve sha512crypt örneklerinde bulunan sadece rakam tuzları, hashcat'ın örnek karmaları nasıl yarattığının yan etkileridir; gerçek, sağlıklı tuzlar genellikle çok daha büyük bir anahtar alandan elde edilir).

Ayrıca, yalnızca /etc/login.defs tarafından desteklenen bu karma türleri bu platformda listelediğimi unutmayın. Genel kullanım için, sha256crypt ve sha512crypt bile, önce bcrypt, daha sonra da scrypt ve Argon2 ailesi gibi gerçekten paralel saldırılara dayanıklı kargaşalarla değiştirildi. (Ancak, bir saniyeden daha az bir sürede girmesi gereken etkileşimli girişler için, bcrypt uygulamasının saldırıya karşı saldırıya karşı daha dirençli olduğunu unutmayın)


20

Bunu şu şekilde değiştirdim /etc/login.defs:

PASS_MAX_LEN            8

Sorun düzeltildi.


Önemli ilaveler:

Yukarıdaki parametreleri değiştirdikten sonra, 8 basamaktan daha büyük bir şifre ayarlayabildiğim halde, gerçek şifre sadece ilk sekiz rakam olduğundan dolayı hala geçersiz. Bu benim sorunum mu bilmiyorum.

Son çözümüm ayarlamak.

# ENCRYPT_METHOD DES

için

ENCRYPT_METHOD MD5

içinde /etc/login.defs .

Şimdi nihayet sekizden büyük bir root şifresi ayarlayabilirim.


16
İyi bir düzeltme, ancak bir sistem varsayılanı için kötü orijinal seçim olsa ...
HBruijn

8
Parolanızı şimdi 8 karakterden daha uzun bir değerle değiştirdiğinizi farz ediyorum. Daha uzun şifrenizin sadece ilk 8 karakteriyle giriş yapıp yapamayacağınızı deneyebilir misiniz? Çünkü sadece olabilir ...
marcelm

9
Bunu SHA256 veya SHA512 olarak değiştirmeyi düşünebilirsiniz ya da desteklenirler - MD5 bugünlerde kırılmış olarak kabul edilir.
PhilippNagel

8
gerçekten sha256 ve sha512 tek başlarına md5'ten daha iyi değil. bir tuza ihtiyacınız var ve bu algoritmaların crypt versiyonlarını kullanın.
SnakeDoc

4
@PhilippNagel Yüksek entropi bir şifre ile, çok kötü değil. MD5 kesinlikle kırılmış olarak kabul edilmekle birlikte, şu anda bilinen zayıflıklar şifre karmaşasını etkilememektedir. Ne olduğunu şifre karma için bir sorun hızıdır; yinelenmeyen MD5 o kadar hızlıdır ki kaba işlem zorlama birçok parola için çok uygundur.
marcelm
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.