=?ISO-8859-15?Q?Re=3A_Sicherheitsproblem=3A_nur_die_erst?= =?ISO-8859-15?Q?en_acht_Stellen_des_Passworts__m=FCssen_ko?= =?ISO-8859-15?Q?rrekt_sein=2E?=

Wed, 01 Sep 2004 04:37:48 -0700 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Malte Spiess wrote:

| Bei adduser ist es aber so: (Ich gebe als Passwort immer "a"
| ein.)

Hallo, Malte!

Gerade mal etwas getestet, als root kannst Du trotz der cracklib
kurze und unsichere Passw�rter vergeben, aber root sollte wissen was
er tut (wie so �blich):

- -- SNIP --

teefix:/usr/sbin# adduser test
Adding user test...
Adding new group test (1022).
Adding new user test (1022) with group test.
Home directory /home/test already exists.  Not copying from /etc/skel
New UNIX password:
BAD PASSWORD: it's WAY too short
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for test
Enter the new value, or press ENTER for the default
~        Full Name []:
~        Room Number []:
~        Work Phone []:
~        Home Phone []:
~        Other []:
Is the information correct? [y/N] y
teefix:/usr/sbin# su - test
[EMAIL PROTECTED]:~$ passwd
Changing password for test
(current) UNIX password:
New UNIX password:
BAD PASSWORD: it's WAY too short
New UNIX password:
BAD PASSWORD: it's WAY too short
New UNIX password:
BAD PASSWORD: it's WAY too short
passwd: Authentication token manipulation error
[EMAIL PROTECTED]:~$

- -- SNIP --

Wenn ich als root adduser ausf�hre, dann kann ich meinem Nutzer
'test' dennoch das Passwort 'a' zuweisen und ich bekomme lediglich
die Warnung.

Aber wenn ich mich als Nutzer 'test' einlogge (oder mich mal dazu
mache), kann ich es nicht mehr - dort versagt passwd dann die
Dienste wenn ich unsichere Passw�rter vergeben will (weil mir das
sichere was ich verwenden soll nicht passt).

HTH,
Jan
- --
GPG-KeyID: 82201FC4
Available at my public sks keyserver sks.nerdcamp.net
Please report any problems using sks.nerdcamp.net!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFBNbQ6vvmCkIIgH8QRAkcEAJ4hmi4xR3TLmarcRapuD5E6ejV4twCgorF5
jj6ebZsodz1fg5uKT+oTtz0=
=NgxC
-----END PGP SIGNATURE-----


--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an