hi leute,
ein freund hat mir mal erzählt, daß root die passwörter im klartext auslesen kann...
würd mich mal interessieren wie das geht. die suche hat leider nichts ausgespuckt.
danke
euer benito
hi leute,
ein freund hat mir mal erzählt, daß root die passwörter im klartext auslesen kann...
würd mich mal interessieren wie das geht. die suche hat leider nichts ausgespuckt.
danke
euer benito
Jeder User, nicht nur root kann die passwd auslesen.
Jedoch aber nicht das Passwort im Klartext.
Das ganze funktioniert mit einer Hash Funktion die nicht zurückgerechnet werden kann.
Das heisst, weder root noch ein anderer User kann das Passwort im Klartext lesen.
Um an das Passwort ranzukommen müsste man eine Bruteforceattacke durchführen.
Besser ist es, wenn die Passwörter in der shadow Datei gespeichert werden. Hier hat dann nur root leserechte.
Grüße
DaGrrr
das mit dem auslesen ist klar....aber was ist nun wann?Original geschrieben von DaGrrr
Jeder User, nicht nur root kann die passwd auslesen.
Jedoch aber nicht das Passwort im Klartext.
Das ganze funktioniert mit einer Hash Funktion die nicht zurückgerechnet werden kann.
Das heisst, weder root noch ein anderer User kann das Passwort im Klartext lesen.
Um an das Passwort ranzukommen müsste man eine Bruteforceattacke durchführen.
Besser ist es, wenn die Passwörter in der shadow Datei gespeichert werden. Hier hat dann nur root leserechte.
Grüße
DaGrrr
wenn ich md5-passwörter und shadow-passwörter aktiviert habe,...wo sind dann meine pwd's? gruss&danke
pablo
-.-
Hi,Original geschrieben von DaGrrr
Das ganze funktioniert mit einer Hash Funktion die nicht zurückgerechnet werden kann.
Das heisst, weder root noch ein anderer User kann das Passwort im Klartext lesen.
Um an das Passwort ranzukommen müsste man eine Bruteforceattacke durchführen.
was is aber, wenn ein user sein passwort vergessen hat? muß der admin dann den account löschen
oder vergibt er einfach für den betreffenden user ein neues passwort?
und, bis du dir sicher das es nicht geht? könnte schwören der admin in meinem cip-pool hat einfach
mein passwort schnell rausbekommen, nachdem ich mich komischerweise nicht mehr anmelden konnte. er konnte
sich dan mit meinen daten problemlos anmelden!
CU
benito
@benito
nein es geht wirklich nicht ausser einer bruteforceattacke und das würde sehr lange dauern.
da gibt es überings projekte die versuchene wie lange sie brauchen md5-summen per
bruteforceattacke zu knacken.
als admin sprich root kannst du nur passwörter zurück setzen.
du mußt nicht gleich den ganzen account löschen
cu burn
http://www.hades-blumenservice.de
Enemy Territory Server
81.3.59.168:18930
was wäre da so ein beispielsprogi???Original geschrieben von burn
da gibt es überings projekte die versuchene wie lange sie brauchen md5-summen per
bruteforceattacke zu knacken.
gruss&danke
pablo
-.-
wie wäre es mit google?Original geschrieben von pablovschby
was wäre da so ein beispielsprogi???
gruss&danke
pablo
42
Hi burn,
ok,ok, ich glaub´s euch. md5-checksumme habe ich schon öfters in letzter zeit gehört (von ihnen, mein ich).
werd mich mal von google schlau machen lassen, falls du da einen besonders guten link hast, dann poste
ihn mir doch bitte, falls nicht, auch nicht schlimm. anyway, thanx!
euer benito
@benito
http://www.paramind.de/dindokry.htm
http://www.linux-community.de/Neues/story?storyid=6895
http://www.metaner.de/1pw/brute-force.html
es gibt noch andere seiten aber die werde hier nicht posten (habe da so meine gründe)
cu burn
http://www.hades-blumenservice.de
Enemy Territory Server
81.3.59.168:18930
Dann liegen Deine Passwörter in /etc/shadowwenn ich md5-passwörter und shadow-passwörter aktiviert habe,...wo sind dann meine pwd's?
Dann wird das Passwort von root neu vergeben.was is aber, wenn ein user sein passwort vergessen hat? muß der admin dann den account löschen
Solch ein Tool kenne ich nicht und ich bezweifle das es ein solches Tool gibt.könnte schwören der admin in meinem cip-pool hat einfach mein passwort schnell rausbekommen, nachdem ich mich komischerweise nicht mehr anmelden konnte. er konnte
sich dan mit meinen daten problemlos anmelden!
root kann selber nicht die Passwörter in Klartext sehen, daher kann das auch kein Tool. Es kann nur gecrackt werden.
Grüße
DaGrrr
e gab mal einen Mörder in den USA der nannte sich "*** the ripper", mehr sage ich da mal nicht.
Ist auch nur ein Programm, was bestimmtes macht.
Hellsehen kann es aber auch nicht.
Grüße
DaGrrr
Das Paßwort weiß genau niemand mehr, außer dem User. Auch der Rechner "weiß" es nicht.
Programme wie johntheripper probieren auch nur durch; schränken die Suche aber durch Annahmen ein (Wörterbücher beispielsweise). Daher sollte man am besten ein zufälligen Paßwort nehmen, daß auch mindestens 8 Zeichen hat.
Damit man das Paßwort durchprobieren kann, muß man natürlich drankommen, deswegen steckt man es in shadow, so daß außer root und shadow niemand drankommt (kommen sollte).
Huar, MrIch, das waren ja gleich zwei Fehler in einem Satz!
Der, den Du zu meinen glaubtest, trieb sein Unwesen in Eng-
land und hoerte auf den Namen Jack. Das ist bei Debian ein
Programm zum rippen und enkodieren von CDs, was dem
geforderten Einsatzzweck nicht unbedingt nahe kommt.
Dafuer nehmen wir dann doch lieber john
'cuda
PS: <duckundwegrenn>
noch ein link der sich mit der entschlüsselung von rRc5-72 und ogr befasst.
http://distributed.net/
cu burn
http://www.hades-blumenservice.de
Enemy Territory Server
81.3.59.168:18930
Berechtigungen
Zitieren
Lesezeichen