Tôi có thể bỏ qua vài ký tự cuối cùng của mật khẩu trên Ubuntu 14.04

Chúng tôi có Ubuntu 14.04.3 LTS trên PC trong phòng thí nghiệm của tôi ở trường đại học. Tôi đã nhận thấy một lỗi nghiêm trọng ngày hôm nay.

Tôi có thể bỏ qua một vài ký tự cuối cùng của mật khẩu và vẫn đăng nhập trơn tru. Ví dụ: nếu mật khẩu của tôi là a1b2c3d4e5f6g7h8, tôi có thể nhập a1b2c3d4evà vẫn đăng nhập. Nhiều người khác cũng nhận thấy lỗi này.

Lưu ý rằng mật khẩu không thể được bỏ qua hoàn toàn - tối đa tôi có thể bỏ qua là 7 ký tự. Nếu tôi cố gắng bỏ qua nữa, thông báo " Mật khẩu không hợp lệ, vui lòng thử lại " xuất hiện. Cũng lưu ý rằng mọi hoán vị ngẫu nhiên của một chuỗi con của mật khẩu đều không hoạt động.

Điều này cũng xảy ra nếu tôi khóa màn hình bằng tay và nhập lại mật khẩu. Lỗi tương tự cũng xuất hiện trong khi sử dụng sshvà tốt, việc tìm kiếm và tìm kiếm Stack Overflow không giúp được gì.

Câu hỏi của tôi là - làm thế nào để tôi sửa lỗi này, nếu tôi có thể sửa nó? Sysadm của chúng tôi sẽ không có sẵn trước thứ Hai và điều này thực sự gây phiền toái cho tôi.

QUAN TRỌNG: Lưu ý rằng không có tài khoản nào của sinh viên trong danh sách sudoers, chỉ sysadm có quyền truy cập root. Ngoài ra, những điều sau đây hiển thị khi tôi sshvào tài khoản của mình:

Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.13.0-65-generic i686)

* Documentation:  https://help.ubuntu.com/

543 packages can be updated.
350 updates are security updates.

New release '16.04.1 LTS' available.
Run 'do-release-upgrade' to upgrade to it.

CẬP NHẬT: Có vẻ như vấn đề quan trọng không phải là số lượng ký tự bị bỏ qua ở cuối, mà thực tế là có thể đăng nhập bằng tám hoặc nhiều ký tự đầu tiên của mật khẩu.

Nếu bạn không có quyền truy cập quản trị viên, bạn không thể làm gì nhiều.

Điều đó nói rằng, điều này dường như là do sự bất tài của quản trị viên. Điều này nghe có vẻ đáng ngờ tương tự như mã hóa mật khẩu bằng cách sử dụng crypt(3)chức năng cổ điển . Từ man 3 crypt:

crypt () là hàm mã hóa mật khẩu. Nó dựa trên dữ liệu
Thuật toán mã hóa tiêu chuẩn với các biến thể dự định (trong số khác
điều) để ngăn cản việc sử dụng các triển khai phần cứng của một tìm kiếm chính.

chìa khóa là mật khẩu người dùng gõ.

salt là một chuỗi hai ký tự được chọn từ tập [a-zA-Z0-9./]. Điều này
chuỗi được sử dụng để làm nhiễu thuật toán theo một trong 4096 cách khác nhau.

Bằng cách lấy 7 bit thấp nhất của mỗi trong số tám ký tự đầu tiên của
khóa, khóa 56 bit được lấy.   Khóa 56 bit này được sử dụng để mã hóa
lặp đi lặp lại một chuỗi không đổi (thường là một chuỗi bao gồm tất cả
số không). Giá trị được trả về trỏ đến mật khẩu được mã hóa, một chuỗi
gồm 13 ký tự ASCII có thể in (hai ký tự đầu tiên đại diện cho
chính muối). Giá trị trả về trỏ đến dữ liệu tĩnh có nội dung
được ghi đè bởi mỗi cuộc gọi.

Nghe có quen không?

Không có hệ thống Ubuntu gần đây sử dụng điều này theo mặc định. Quản trị viên của bạn phải tự cấu hình thiết lập mật khẩu để sử dụng. Hoặc, họ có thể đang sử dụng xác thực bên ngoài (LDAP hoặc tương tự) và không hoặc không thể định cấu hình đó một cách an toàn.

Xem thêm: Mật khẩu trên các hệ thống Unix / Linux hiện đại có còn giới hạn ở 8 ký tự không?

Có một thời gian, trong một thiên niên kỷ trước, khi tất cả Unixen mã hóa mật khẩu của họ theo cách này. Hủy bỏ mọi thứ ngoài ký tự thứ tám, thêm muối, bỏ qua hàm băm và thực hiện.

Câu hỏi lớn ở đây là nếu mật khẩu được mã hóa có sẵn cho các tin tặc tiềm năng. Nếu có, đây là một vấn đề lớn. Nếu họ không, nó thực sự không phải là một vấn đề lớn. Mật khẩu tám ký tự có rất nhiều khả năng. Nếu bạn phải thực hiện một nỗ lực đăng nhập thực tế để kiểm tra mật khẩu tiềm năng thì việc xâm nhập sẽ mất nhiều thời gian. Ngoài ra, các nỗ lực sẽ kích hoạt báo động.

Vì vậy, chiến thắng lớn ở đây là mật khẩu bóng. Tuy nhiên, mọi người bắt đầu nghĩ rằng điều này không đủ tốt và mọi biến thể Unix đều thực hiện theo cách riêng của họ để mở rộng độ dài mật khẩu tối đa. Chúng không còn tương thích.

Trong một thời gian, nếu bạn muốn nhiều máy có các biến thể Unix khác nhau sử dụng cùng một mật khẩu, bạn phải sử dụng loại mã hóa cũ.

Hoàn toàn có thể khi các phòng thí nghiệm máy tính này được thiết lập lần đầu tiên vẫn còn như vậy. Và loại thiết lập này có quán tính. Các máy khách mới được thiết lập để phù hợp với máy chủ. Máy chủ mới được thiết lập để phù hợp với khách hàng.

Hôm nay, mọi thứ tốt hơn. Có ít biến thể Unix được sử dụng và chúng hợp tác tốt hơn.

Tôi không đủ năng lực để cho bạn biết cách khắc phục điều này, nhưng đó là nhiệm vụ cho quản trị viên, không phải cho bạn.