Kérdés:
Jelszó elfogadva karakterek hozzáadásakor
user161817
2017-10-20 21:15:05 UTC
view on stackexchange narkive permalink

Véletlenül rájöttem, hogy bejelentkezhetek az egyetem fiókjába, ha beírom a jelszavamat és néhány karaktert felveszek. Tehát ha a felhasználónevem e. g. "abc" és a jelszavam "jelszó", "abc" / "jelszóval", de "abc" / "password121312", "abc" / "password1", "abc" / "passworde" néven is bejelentkezhetek. stb. (csak néhány próbálkozást tettem meg, de eddig sikerült).

Ez valahogy nem biztonságos? (El sem tudom képzelni, miért (kivéve talán ez azt jelenti, hogy más biztonsági problémák vannak a hálózattal), de nem sokat tudok a biztonságról.) Mondjam el az egyetememnek?

Ez egy Unix-kiszolgáló shell-fiókja, és csak az első 8 karakter számít?Úgy hangzik, mint [DES] (https://unix.stackexchange.com/questions/302419/solaris-let-me-in-with-differ-password-with-the-same-8-first-characters) titkosítás a "passwd fájl.
+1 (vagy pontosabban [DES crypt] (https://en.wikipedia.org/wiki/Crypt_ (C) # Traditional_DES-based_scheme) AKA "descrypt", amely DES titkosítást és egyéb összetevőket használ.
Mi történik, ha csonka?Például kipróbálja az "abc" / "jelszót" az "abc" / "jelszó" kifejezéshez?
ja, és általában rosszul hangzik.Értesíteni kellene valakit.
A [Bank elfogadja az általam beállítottaktól eltérő jelszót] lehetséges másolata (https://security.stackexchange.com/questions/49177/bank-accepts-different-password-to-the-one-that-i-set)
Most javasoltam egy másodpéldányt, de másfelől úgy gondolom, hogy ennek a kérdésnek itt jobb válaszai és konkrétabb címe van, ezért talán a másiknak kellene ezt a másolatot megjelölni, annak ellenére, hogy idősebb.Pillanatnyilag visszahúztam itt a zászlómat, de nem vagyok biztos benne, hogy valóban a másikat kellene megjelölnöm.Azt hiszem, hogy a döntést a közösségre vagy a modokra bízom.
Kapcsolódó példa: Hosszú jelszót állítottam be a bankomhoz.Egyik nap gépeltem, és véletlenül a visszatérés elé ütöttem az utolsó pár karakter előtt.Meglepetésemre bejutottam. A tesztelés során kiderült, hogy maga a szövegbevitel karakterszámmal rendelkezik, és a gépelésem olyan automatikus volt, hogy soha nem vettem volna észre, hogy az utolsó néhány karakterem semmit sem változott.Rájöttem, hogy rövidebb jelszavam van, mint képzeltem, és technikailag úgy tudtam elérni a fiókomat, hogy nem tudtam a jelszavamat.Kíváncsi vagyok, ha végül is jobb lenne, ha kifejezetten megmutatnám a mező korlátozott számú karakterét a terepen ...
Kettő válaszokat:
A. Darwin
2017-10-20 21:40:06 UTC
view on stackexchange narkive permalink

Ennek legvalószínűbb oka az, hogy a rendszer megcsonkítja a jelszavakat. Ennek a hipotézisnek az ellenőrzéséhez megpróbálhatja megváltoztatni a jelszavát valamivel hosszabbra, és megnézni, mi történik: felismeri a rendszer az "ezt a hosszú jelszót" "ennek a hosszúnak"? Ha igen, a rendszer határozottan csonkolja a jelszavakat. Ha nem, akkor komoly problémák merülhetnek fel a bemeneti hitelesítéssel kapcsolatban, amire a @Matthew rámutatott.

Bár a jelszócsonkolásra szükség lehet a régi rendszerekkel való együttműködéshez - amelyek a felhasználóneveket is csonkolják, lásd ezt a választ a Serverfault-on - általában kerülni kell, mivel csökkenti a "jelszóteret", vagyis a létrehozható egyedi jelszavak számát.

A támadók rengeteg erőforrást (időt, pénzt) spórolhatnak meg, ha tudják, hogy a célrendszerük csonka jelszavakat használ, mivel tudják, hogy nem kell a csonka hossznál hosszabb jelszavakat kipróbálniuk.

Bár a viselkedése nem tűnik számomra rosszindulatúnak, néhány szervezet nagyon érzékeny arra, hogy az emberek hibákat találnak a rendszerükben.

Ezért megpróbálhatja elmondani erről az egyetemének, de ne tegye. Ne hangsúlyozza túlságosan a tudását a lehetséges támadásokról. Csak annyit mondani, hogy "Olvastam, ez biztonsági kérdés jele lehet", rendben van. Ezenkívül ne állítson abszolút módon olyan dolgokat, mint "ez teljesen ésszerűtlen", mivel ennek oka lehet (jelszócsonkolás, nem pedig a helytelen bemeneti ellenőrzés).

Nyilvánvaló, hogy ne végezzen túl sok teszt, ne automatizálja a teszteket, és ne hajtson végre támadásokat.

Mi lenne, ha névtelenül jelentenéd, és használnál minél több hiperbolest és sértést.Szintén hagyjon névtelen tippet a diákújságnál, hogy zavarba hozza őket.Erre fel kell hívni a figyelmüket.
Amikor az iskolám nem hajtotta végre a dohányzás tilalmát, és a biztonsági szolgálatok nem vették komolyan a panaszaimat, lefényképeztem négy embert a * Tilos a dohányzás * felirat előtt dohányozni, és feltettem (nyilvánvalóan elhomályosítva az arcokat)az egyetem facebook oldala.Ez végül felhívta a figyelmüket, és elkezdték érvényesíteni a szabályokat.
Sok régebbi Unix változatban volt egy jelszó rutin, amely 8 karakterrel csonkolódott meg a kivágás előtt.Bármely jelszó, amely megfelel az első 8 karakternek, beengedné. Ez komoly probléma, ha a szuperbiztonságos hosszú jelszó véletlenül egy szótári szóval kezdődik, például: "jelszó! N0body@CoUlD $ Crack !!"még mindig egy egyszerű crackerre esne, mert csak a "jelszó" is működne.Dolgoztam egy Unix-on, amely ezt megcsinálta (ATT SVR4), és pontosan ezt a kérdést érte el ... több mint 20 évvel ezelőtt.: - /
@JesseM Ezért említettem a régi rendszerekkel való kompatibilitást.Igen, ideális esetben ki kell cserélni őket újabb rendszerekre, de minden komoly szervezet elvégzi a költség / haszon elemzést, mielőtt ilyen döntést hozna.Alacsonyabb-e az N szerver cseréjének (és esetleg egy kód átírásának) költsége, mint bármilyen gazdasági mutató, amelyet a csonka jelszavak (és esetleg más kockázatok) miatti kockázatok számszerűsítésére használ?Nem tudjuk.Az egyetemnek tudnia kell, bár tévedhet.Ezért nem szabad olyan dolgokat írni, hogy "ez teljesen ésszerűtlen".Csak nincs teljes képed.
Matthew
2017-10-20 21:31:52 UTC
view on stackexchange narkive permalink

Ez azt sugallhatja, hogy bármely használt jelszó-elosztási rutin vagy megcsonkítja a bemenetet (csak a jelszó első x karakterét használja), vagy a helyes jelszavak összehasonlítása rosszul valósult meg, és csak az első részt hasonlítja össze (ez a jelszavak tárolására használt blokkos titkosítást, vagy a nyers jelszavak tárolását jelentheti).

Egyik helyzet sem különösebben jó.

Csonka esetén hamis értelmet ad a biztonság kedvéért - lehet, hogy hosszú véletlenszerű jelszót választott, de ha csak az első néhány karaktert használjuk, akkor ez közel sem olyan biztonságos, mint gondolnánk, és ennélfogva egy durva erő támadásában kitalálható könnyen. Remélem, hogy ez volt az esélyesebb magyarázat.

Gyenge összehasonlítási rutin esetén ez arra utal, hogy a hitelesítési rutinért felelős fejlesztő nem ismerte a biztonságos fejlesztési gyakorlatokat. Részleges összehasonlítás használatával (pl. SELECT * FROM users WHERE 'felhasználónév LIKE' $ username% 'ÉS' jelszó LIKE '$ password%' ) ismét növeli a durva erő támadásainak esélyét , de azt is sugallja, hogy más hibákat is elkövettek: a fenti példa alapján az a 'OR 1 = 1' - jelszó potenciális beállítása SQL injekciós támadást eredményez. Nyilvánvaló, hogy ez egy kissé kitalált példa, de nem haladja meg a lehetőségek lehetőségeit.

Abban az esetben, ha blokk titkosítást használnak, és nem jelszó-kivonatoló algoritmust, akkor az adatbázisban megengedett hosszúság lehet elégtelen hosszú jelszóért, egyszer titkosítva. Valójában ez a csonkolás, de a titkosított adatok helyett a bemenet. A véghatás azonban ugyanaz: hosszú jelszó megadása hamis biztonságérzetet ad.

Van még egy lehetőség, ha a jelszót visszakereshető módon tárolják az adatbázisban, vagyis hogy ezt "zsír-ujjvédelemként" valósították meg, pl.Az összehasonlítás az "enterPassword.startsWith (realPassword)", ami akkor is sikeres lesz, ha valaki véletlenül eltalálja a \ -t az enter előtt.
Régi egyetemem elutasított néhány jelszót a jelszavakban, mert (itt az e-mailt szó szerint idézve): "A letiltott karakterek többnyire arra szolgálnak, hogy megakadályozzák az okosan felépített jelszavak kárt okozásában a Unix-alapú rendszerekben. Például a fordított perjel, a pipa, a dollárjelés különféle idézetek mind potenciálisan használhatók ilyen módon, ha egyszerű gondolkodású módon táplálják azokat a rendszer () típusú hívásokat, amelyek olyan bináris fájlokat hajtanak végre, mint az „usermod” stb. "
@NickT Miért adta a régi egyetem a "system ()" hívásokhoz a jelszavakat?


Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.
Loading...