ओपनवर्ट के रूट पासवर्ड की अधिकतम लंबाई 8 अक्षर क्यों है?


29

जब मैं rootपासवर्ड सेट करने का प्रयास करता हूं :

root@OpenWrt:~# passwd
Changing password for root
Enter the new password (minimum of 5, maximum of 8 characters)
Please use a combination of upper and lower case letters and numbers.

ऐसा लगता है कि अधिकतम लंबाई 8 है। यदि मैं 8 से अधिक लंबा पासवर्ड सेट करने का प्रयास करता हूं, तो केवल पहले 8 अक्षर मान्य हैं। मैं किसके लिए लंबा पासवर्ड सेट कर सकता हूं root?

मेरा OpenWrt संस्करण:

Linux OpenWrt 4.14.108 #0 SMP Wed Mar 27 21:59:03 2019 x86_64 GNU/Linux

जवाबों:


35

ऐसा इसलिए है क्योंकि DES-आधारित क्रिप्ट (AKA 'descrypt') पासवर्ड को 8 बाइट्स में काट देता है, और केवल पासवर्ड सत्यापन के उद्देश्य के लिए पहले 8 की जांच करता है।

यह आपके सीधे सवाल का जवाब है, लेकिन यहां आपके संदर्भ में कुछ सामान्य सलाह दी गई है:

  • सौभाग्य से, मेरी पढ़ने से, MD5में /etc/login.defsवास्तव में है md5crypt ($ 1 $), जो है, जबकि एक छोटे से पुराना और घोषित इसके लेखक द्वारा पदावनत , अभी भी कहीं बेहतर डेस आधारित तहखाने को (और निश्चित रूप से काफी बेहतर सादे तरह एक कच्चे, अनसाल्टेड हैश से MD5! अधिकांश अनसाल्टेड हैश को कमोडिटी जीपीयू पर प्रति सेकंड अरबों की दर से क्रैक किया जा सकता है )

  • ऐसा लगता है SHA256(वास्तव में sha256crypt) और SHA512(वास्तव में sha512crypt) भी हैं। मैं इसके बजाय उनमें से एक को चुनूंगा।

  • यदि आप passwordप्रत्येक योजना के तहत अपना पासवर्ड या कुछ और सेट करते हैं , तो आप नेत्रहीन रूप से सत्यापित कर सकते हैं कि मेरा निष्कर्ष है या नहीं कि वे -crypt वेरिएंट सही हैं (उदाहरण यहाँ हैशट उदाहरण hashes से लिए गए हैं , सभी 'hashcat', कुछ लिपटे हुए हैं) पठनीयता):

अनुशंसित नहीं - अनसाल्टेड या विरासत हैश प्रकार, पासवर्ड भंडारण के लिए बहुत "तेज" (दर में दरार):

MD5         - 8743b52063cd84097a65d1633f5c74f5
SHA256      - 127e6fbfe24a750e72930c220a8e138275656b8e5d8f48a98c3c92df2caba935
SHA512      - 82a9dda829eb7f8ffe9fbe49e45d47d2dad9664fbb7adf72492e3c81ebd3e2 \
              9134d9bc12212bf83c6840f10e8246b9db54a4859b7ccd0123d86e5872c1e5082f
descrypt    - 48c/R8JAv757A

ठीक - अनसाल्टेड की तुलना में बहुत बेहतर, कोई छंटनी नहीं है, लेकिन आधुनिक हार्डवेयर पर ब्रूट बल के लिए पर्याप्त रूप से प्रतिरोधी नहीं है:

md5crypt    - $1$28772684$iEwNOgGugqO9.bIz5sk8k/

बेहतर - बड़े लवण और काम के कारकों के साथ अपेक्षाकृत आधुनिक हैश:

sha256crypt - $5$rounds=5000$GX7BopJZJxPc/KEK$le16UF8I2Anb.rOrn22AUPWvzUETDGefUmAV8AZkGcD
sha512crypt - $6$52450745$k5ka2p8bFuSmoVT1tzOyyuaREkkKBcCNqoDKzYiJL9RaE8yMnPgh2XzzF0NDrUhgrcLwg78xs1w5pJiypEdFX/

इनमें से, केवल 8 पर अवरोही ट्रंकट्स हैं। अंतिम दो आपके सबसे अच्छे दांव हैं।

(साइड नोट: ऊपर md5crypt और sha512crypt उदाहरणों में केवल-लवण केवल इस बात के साइड इफेक्ट हैं कि कैसे हैशटैट उदाहरण हैश बनाता है; असली, स्वस्थ लवण आमतौर पर बहुत बड़े कीस्पेस से खींचे जाते हैं)।

यह भी ध्यान दें कि मैं केवल हैश प्रकारों को सूचीबद्ध कर रहा हूं जो इस प्लेटफॉर्म पर /etc/login.defs द्वारा समर्थित हैं। सामान्य उपयोग के लिए, यहां तक ​​कि sha256crypt और sha512crypt को सुपरक्रिट किया गया है - पहले bcrypt द्वारा, और फिर बाद में स्क्रीप्ट और Argon2 परिवार जैसे समानांतर-हमले-प्रतिरोधी हैश द्वारा। (ध्यान दें, हालांकि, इंटरएक्टिव लॉगिन के लिए जो एक सेकंड से कम समय में पूरा होना चाहिए, bcrypt वास्तव में उत्तरार्द्ध की तुलना में हमला करने के लिए अधिक प्रतिरोधी है)


20

मैंने इसमें संशोधन किया /etc/login.defs:

PASS_MAX_LEN            8

निर्धारित समस्या।


महत्वपूर्ण परिवर्धन:

मैंने उपरोक्त मापदंडों को बदलने के बाद, हालांकि मैं 8 अंकों से बड़ा पासवर्ड सेट कर सकता हूं, यह अभी भी अमान्य है क्योंकि वास्तविक पासवर्ड केवल पहले आठ अंक है। मुझे नहीं पता कि यह मेरी समस्या है या नहीं।

मेरा अंतिम समाधान सेट करना है

# ENCRYPT_METHOD DES

सेवा मेरे

ENCRYPT_METHOD MD5

में है /etc/login.defs

अब, मैं अंत में एक रूट पासवर्ड सेट कर सकता हूं जो वास्तव में आठ से बड़ा है।


16
हालांकि एक सिस्टम डिफॉल्ट के लिए अच्छा फिक्स, लेकिन खराब मूल विकल्प ...
HBruijn

8
मुझे लगता है कि आपने अपना पासवर्ड अब 8 वर्णों से कुछ अधिक बदल दिया है। क्या आप कोशिश कर सकते हैं कि यदि आपके पहले पासवर्ड के सिर्फ 8 अक्षरों के साथ लॉग इन किया जाए? क्योंकि यह बस हो सकता है ...
मार्सेल

9
आप इसे SHA256 या SHA512 में बदलने पर विचार कर सकते हैं या वे समर्थित हैं - MD5 इन दिनों टूटा हुआ माना जाता है।
फिलिप्नागेल

8
वास्तव में खुद के द्वारा sha256 और sha512 md5 से बहुत बेहतर नहीं हैं। आपको एक नमक की आवश्यकता है, और इन एल्गोरिदम के क्रिप्ट संस्करणों का उपयोग करें।
स्नेकडोक

4
@PhilippNagel एक हाई-एंट्रॉपी पासवर्ड के साथ, यह बहुत बुरा नहीं है। हालांकि एमडी 5 को निश्चित रूप से टूटा हुआ माना जाना चाहिए, वर्तमान में ज्ञात कमजोरियां पासवर्ड हैशिंग के लिए इसे प्रभावित नहीं करती हैं। पासवर्ड हैशिंग के लिए एक समस्या क्या है गति; गैर-पुनरावृत्त MD5 इतना तेज़ है कि कई पासवर्डों के लिए ब्रूट-फोर्सिंग बहुत संभव है।
मार्सेलम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.