मैं Ubuntu 14.04 पर अपने पासवर्ड के अंतिम कुछ अक्षरों को छोड़ सकता हूं

हमारे कॉलेज में हमारे लैब पीसी पर Ubuntu 14.04.3 LTS है। मैंने आज एक गंभीर बग पर ध्यान दिया है।

मैं अपने पासवर्ड के अंतिम कुछ अक्षरों को छोड़ सकता हूं और फिर भी आसानी से लॉग इन कर सकता हूं। उदाहरण के लिए, यदि मेरा पासवर्ड है a1b2c3d4e5f6g7h8, तो मैं टाइप कर सकता हूं a1b2c3d4eऔर फिर भी लॉग इन कर सकता हूं । कई अन्य लोगों ने भी इस बग पर ध्यान दिया है।

ध्यान दें कि पासवर्ड को पूरी तरह से बाईपास नहीं किया जा सकता है - अधिकतम मैं जो सक्षम है वह 7 वर्ण है। यदि मैं किसी और को छोड़ने का प्रयास करता हूं, तो संदेश " अमान्य पासवर्ड, कृपया पुनः प्रयास करें " प्रकट होता है। यह भी ध्यान दें कि पासवर्ड के विकल्प के किसी भी यादृच्छिक क्रमांकन से काम नहीं चलता है।

यह तब भी होता है जब मैं स्क्रीन को मैन्युअल रूप से लॉक करता हूं और पासवर्ड फिर से दर्ज करता हूं। एक ही बग का उपयोग करते समय मौजूद है sshऔर अच्छी तरह से, googling और स्टैक ओवरफ्लो की खोज करने से मदद नहीं मिली।

मेरा सवाल है - मैं इस बग को कैसे ठीक करूं, अगर मैं इसे ठीक कर सकता हूं? हमारा sysadm सोमवार से पहले उपलब्ध नहीं होगा, और यह वास्तव में मुझे परेशान कर रहा है।

महत्वपूर्ण: ध्यान दें कि छात्रों के खातों में से कोई भी sudoers सूची में नहीं है, केवल sysadm का रूट एक्सेस है। इसके अलावा, जब मैं sshअपने खाते में निम्नलिखित दिखाता हूं :

Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.13.0-65-generic i686)

* Documentation:  https://help.ubuntu.com/

543 packages can be updated.
350 updates are security updates.

New release '16.04.1 LTS' available.
Run 'do-release-upgrade' to upgrade to it.

अद्यतन: ऐसा लगता है कि महत्वपूर्ण मुद्दा अंत में छोड़े गए पात्रों की संख्या नहीं है, लेकिन यह तथ्य कि पासवर्ड के पहले आठ या अधिक वर्णों के साथ लॉगिन करना संभव है।

यदि आपके पास व्यवस्थापक पहुंच नहीं है, तो बहुत कुछ नहीं है जो आप कर सकते हैं।

यह कहा, यह व्यवस्थापक अक्षमता के कारण प्रतीत होता है। यह क्लासिक crypt(3)फ़ंक्शन का उपयोग करके संदिग्ध रूप से पासवर्ड एन्क्रिप्शन के समान लगता है । से man 3 crypt:

क्रिप्ट () पासवर्ड एन्क्रिप्शन फ़ंक्शन है। यह डेटा पर आधारित है
एन्क्रिप्शन मानक एल्गोरिथ्म का इरादा भिन्नताओं के साथ (अन्य के बीच)
चीजें) एक प्रमुख खोज के हार्डवेयर कार्यान्वयन के उपयोग को हतोत्साहित करने के लिए।

कुंजी उपयोगकर्ता का टाइप किया गया पासवर्ड है।

नमक सेट से चुना गया एक दो-वर्ण का तार है [a-zA-Z0-9./]। यह
4096 विभिन्न तरीकों में से एक में एल्गोरिथ्म को खराब करने के लिए स्ट्रिंग का उपयोग किया जाता है।

के पहले आठ अक्षरों में से प्रत्येक के सबसे कम 7 बिट्स लेने से
कुंजी, एक 56-बिट कुंजी प्राप्त की है।   इस 56-बिट कुंजी का उपयोग एन्क्रिप्ट करने के लिए किया जाता है
बार-बार एक निरंतर स्ट्रिंग (आमतौर पर एक स्ट्रिंग जिसमें सभी शामिल हैं)
शून्य)। लौटाया गया मान एन्क्रिप्ट किए गए पासवर्ड, एक श्रृंखला की ओर इशारा करता है
13 मुद्रण योग्य ASCII वर्ण (पहले दो वर्णों का प्रतिनिधित्व करते हैं
नमक ही)। वापसी का मूल्य स्थिर डेटा को इंगित करता है जिसकी सामग्री
प्रत्येक कॉल द्वारा अधिलेखित है।

क्या वह आवाज परिचित है?

कोई भी हालिया उबंटू प्रणाली डिफ़ॉल्ट रूप से इसका उपयोग नहीं करती है। आपके व्यवस्थापक को इसका उपयोग करने के लिए पासवर्ड सेटअप को मैन्युअल रूप से कॉन्फ़िगर करना होगा। या, वे बाहरी प्रमाणीकरण (LDAP, या समान) का उपयोग कर रहे होंगे और उस सुरक्षित रूप से कॉन्फ़िगर या नहीं कर सकते थे।

यह भी देखें: क्या आधुनिक यूनिक्स / लिनक्स सिस्टम पर पासवर्ड अभी भी 8 वर्णों तक सीमित हैं?

एक समय था, एक पिछली सहस्राब्दी में, जब सभी यूनिक्स ने अपने पासवर्ड इस तरह एन्क्रिप्ट किए थे। आठवें चरित्र से परे सब कुछ त्यागें, नमक जोड़ें, एक हैश फ़ंक्शन के माध्यम से ड्रॉप करें और किया।

यहां बड़ा सवाल यह है कि एन्क्रिप्टेड पासवर्ड संभावित हैकर्स के लिए उपलब्ध हैं। यदि वे हैं, तो यह एक बड़ी समस्या है। यदि वे नहीं हैं, तो यह वास्तव में बड़ी बात नहीं है। आठ अक्षरों के पासवर्ड में बहुत अधिक संभावनाएं हैं। यदि आपको एक संभावित पासवर्ड की जाँच करने के लिए एक वास्तविक लॉगिन प्रयास करना है तो इसमें ब्रेकिंग एक लंबे समय के लिए जा रहा है। इसके अलावा, प्रयास अलार्म को ट्रिगर करेंगे।

तो, यहां बड़ी जीत छाया पासवर्ड है। फिर भी, लोग यह सोचने लगे कि यह पर्याप्त नहीं था और प्रत्येक यूनिक्स संस्करण ने अधिकतम पासवर्ड लंबाई बढ़ाने के अपने तरीके को लागू किया। ये अब संगत नहीं थे।

कुछ समय के लिए, यदि आप एक ही पासवर्ड का उपयोग करने के लिए विभिन्न यूनिक्स वेरिएंट वाली कई मशीनें चाहते थे, तो आपको पुराने प्रकार के एन्क्रिप्शन का उपयोग करना होगा।

यह बहुत संभव है कि जब इन कंप्यूटर प्रयोगशालाओं को पहली बार स्थापित किया गया था तब भी ऐसा ही था। और इस प्रकार के सेटअप में जड़ता है। सर्वर से मेल करने के लिए नए क्लाइंट सेट किए गए हैं। ग्राहकों से मिलान करने के लिए नए सर्वर स्थापित किए गए हैं।

आज, हालात बेहतर हैं। उपयोग में कम यूनिक्स संस्करण हैं, और वे बेहतर सहयोग करते हैं।

मैं काफी सक्षम आपको बता कैसे इसे ठीक करने के लिए नहीं कर रहा हूँ, लेकिन यह है तुम्हारे लिए नहीं, व्यवस्थापक के लिए एक कार्य।