» MD5 шифрование паролей в Linux Mandriva

при установке мандривы нету выбора типа шифрования пароля((((
но точно не MD5(((
есть ли способ установить именно MD5 шифрование??

(П.С. md5 т.к. линуксовый вариант взломать даже перебором невозможно)

vitanna
вы бы хоть объяснили , ЗАЧЕМ это ?
На локальной машине есть рутовый вход, если пароль root утерян, существует процедура восстановления .
Если на удаленной - то для чего Вам это ?

AnDySs1

md5 нужен потому, что самый стойкий алгоритм шифрования, а в линуксе еще и усилен. ставить будем на сервак, нужно удобное управление (mandriva) и защита о местного вандализма (md5 им не расшифровать, а пароли в виде шифра будут доступны широкому кругу лиц - вот пусть на хэш md5 смотрят и облизываются)))).

vitanna
Прошу прощения за оффтоп, но сейчас уже очень давно нет на unix-системах нестойких алгоритмов шифрования паролей. Самое слабое место - атака перебором, он от нее ни один алгоритм не спасет. Так что md5 использовать необязательно - подойдет любой.

Но делать хеш пароля доступным широкому кругу в принципе неправильно - вдруг случайно подберут? Или можно сделать пароль именно только для этого сервака, чтобы если подберут - ничего другого не поломали.

Цитата:

md5 нужен потому, что самый стойкий алгоритм шифрования

сам по себе md5 - это вообще не алгоритм шифрования
касательно "стойкости" md5 можно получить очень хорошее представление, просто набрав в google "md5 rainbow table"


Цитата:

а в линуксе еще и усилен.

o_O


Цитата:

нужно удобное управление (mandriva)

o_O


Цитата:

и защита о местного вандализма

а это как понимать?

Цитата:

SysCommander

Цитата:

сам по себе md5 - это вообще не алгоритм шифрования

ну способ шифрования, суть ведь не меняется))


Цитата:

касательно "стойкости" md5 можно получить очень хорошее представление, просто набрав в google "md5 rainbow table"

и убедиться, что таблиц под длинные (>6 символов) нету)))
к тому же, md5 в *nix системамх имеет кучу фенечек, например для "усиления" кодировка проходит не 1, а 1000 раз)))
(есть и еще фенечки)

Цитата:

а это как понимать?

есь местные любители все "потрогать"; не всем можно "объяснить", что взламывать сервак "нехорошо"... их не останавливает девиз - "поймаем, глаза на ж*пу натянем"


Цитата:

iltmpz

Цитата:

но сейчас уже очень давно нет на unix-системах нестойких алгоритмов шифрования паролей

DES - макс длина пароля 8 символов, взлом несложный (в сравнении конечно)


Цитата:

Но делать хеш пароля доступным широкому кругу в принципе неправильно - вдруг случайно подберут?

для MD5 не подобрать!


Добавлено:

Цитата:

короче так:

в Mandrive (моей) шифрование MD5, ура!))))

1 - если строка представляет из себя алфавитно-цифровую последовательность без префиксов – это стандарный DES (длинна пароля не более 8 символов)
2 - если строка начинаеться с символа "_" это так называемый DES в стиле BSDI (длинна пароля не ограничена, символы обрезаются до 7 бит)
3 - если префикс зашифрованного пароля "$1$" это MD5 (длинна пароля не ограниячена, символы 8 битные)
4 - если префикс "$2a$"это blowfish(максимальная длинна пароля 72 символа, сомволы 8 битные)

Цитата:

DES - макс длина пароля 8 символов, взлом несложный (в сравнении конечно)

DES насколько я знаю использовался для хеширования паролей лет 20 назад, может, 10. Сильно сомневаюсь, что сейчас реально найти такой дистрибутив. Сейчас обычно везде либо md5, либо blowfish. ну а необратимость хеширования - она везде есть, на то оно и хеширование.

Цитата:

для MD5 не подобрать!

Я имею в виду перебором, атакой по словарю и т.п.
Просто лучше не использовать этот же пароль еще на 10 серваках, к хешам которых у юзеров доступа нет.

Цитата:

DES насколько я знаю использовался для хеширования паролей лет 20 назад, может, 10. Сильно сомневаюсь, что сейчас реально найти такой дистрибутив.

OpenSuSe всех версий, например

Цитата:

Я имею в виду перебором, атакой по словарю и т.п.

md5 в линуксах так реализован, что при замене пароля на тот же самый, хэш получается разный))


Цитата:

ну а необратимость хеширования - она везде есть, на то оно и хеширование.

строго говоря, хэш есть лишь у md5, у blowfish не хэш, а закодированный пароль. причем код содержит "ключ", зная его можно вычислить сам пароль.

Цитата:

OpenSuSe всех версий, например

Да, точно, сейчас проверил - действительно есть 1 из вариантов - DES при желании можно выбрать. Не знаю, какой из них, не думаю что "тот самый", где пароль обрезается до 8 символов...

Цитата:

md5 в линуксах так реализован, что при замене пароля на тот же самый, хэш получается разный))

Как я понимаю, из-за salt. Если знать откуда берется salt в конкретной системе (вариантов не так много), то подобрать рароль - не проблема. Хотя перекодировки могут сильно снизить скорость перебора.


Цитата:

у blowfish не хэш, а закодированный пароль

Да, действительно, как-то не задумывался - действительно blowfish - алгоритм шифрования.
Впрочем, это не значит, что он хуже подходит для защиты пароля - обычно в качестве ключа используется как раз пароль или его модификации, и расшифровать его все равно можно только перебором...

Цитата:

а пароли в виде шифра будут доступны широкому кругу лиц - вот пусть на хэш md5 смотрят и облизываются))))

хэши паролей хранятся в /etc/shadow
владелец этого файла - root
широкий круг лиц прямой доступ к нему обычно не имеет, даже на чтение
cat /etc/shadow в юзерской консоли выдаст permission denied
я не понимаю о чем речь идет

iltmpz


Цитата:

Как я понимаю, из-за salt. Если знать откуда берется salt в конкретной системе (вариантов не так много), то подобрать рароль - не проблема. Хотя перекодировки могут сильно снизить скорость перебора.

не только, md5 хэш должен быть 32 символа, но в mandrive меньше, в opensuse еще меньше - типа доп. фенечки))

SysCommander

Цитата:

я не понимаю о чем речь идет

например есь множественые косяки в БД и perl скриптах, через них, с помощью спец инъекций вполне реально посмотреть содержимое etc/shadow, изменить гораздо труднее, но стибзить можно

1. никто не будет использовать нестойкие методы шифрования паролей - в этом нет смысла.
2. пароль - не панацея, это всего лишь одна из составляющих защиты системы.

Добавлено:
З.Ы. кстати - когда-то давно настраивал хостинг-сервер, там была штука под название suexec