nicht angemeldet
crypt und lange Passwoerter
Hallo alle miteinander,
ich bin platt vor Passwoertern.
Wir hatten einen Umzug auf einem unserer Kundenserver - es wurden ganz viele Kunden von einem anderen Server auf dieses Server migriert. Auf dem alten Server waren Passwoerter mit mehr als 8 Zeichen erlaubt, die auch bei der Kodierung des Passworts fuer die /etc/shadow mitberuecksichtigt wurden.
Deswegen haben die Sysadmins hier mal eben die Passwortroutinen auf dem neuen Server auch so eingestellt.
Nun haben wir auf dem gleichen Rechner ein Script laufen, welches per Weboberflaeche eingegebene Passwoerter mit perl crypted und mit denen in der /etc/shadow vergleicht - frueher ging das vernuenftig (mit dem richtigen Salz, die Diskussionen hierzu waren klasse zu lesen)...
Nun klappt die Ueberpruefung leider nicht mehr - selbstverstaendlich nicht, weil die Passwoerter in der /etc/shadow anders lauten als die, die das perl-crypt generiert und vergleicht.
Hat da jemand einen Tipp fuer einen entnervten Developer? Bitte auch per Email... Danke.
Schoene Gruesse und ein sonniges Wochenende,
Henning
-
Hallo Henning,
Nun klappt die Ueberpruefung leider nicht mehr - selbstverstaendlich nicht, weil die Passwoerter in der /etc/shadow anders lauten als die, die das perl-crypt generiert und vergleicht.
Hat da jemand einen Tipp fuer einen entnervten Developer?wenn ich's noch richtig weiss behandelt die Perl crypt() Funktion maximal nur die ersten 8 Stellen eines Strings (=Password); der Rest wird ignoriert. Das bedeutet in der Praxis: das Password "password" wird
zum gleichen String verwurstet wie "passwordabc" oder "passwordganzgeheim", da eigentlich nur jeweils die ersten 8 Stellen (eben "password") beachtet werden.Viele Grüße Günter