[Eisfair] Passwortlänge bei Eisfair

[Christoph Schulz]

Hallo!

Detlef Paschke schrieb:

> Hallo an alle,
> 
> durch einen Tippfehler ist mir gerade aufgefallen, dass bei Eisfair nur
> die ersten 8 Zeichen des Passwortes ausgewertet werden. Alles was
> dahinter kommt ist E1 scheiß egal.

Wann wurde das betreffende Passwort das letzte Mal gesetzt/verändert? Erst 
vor kurzem oder schon vor langer Zeit?

Hintergrund: Es ist auf allen Linux-Systemen verbreitet, die eingebaute 
crypt()-Funktion zur Berechnung der Passwort-Hashwerte zu verwenden. Diese 
unterstützte ursprünglich nur einen modifizierten DES-Algorithmus, der nur 
die ersten acht Zeichen zur Ableitung des DES-Schlüssels benutzt hat. 
Systeme neueren Datums nutzen statt DES modernere Algorithmen wie SHA-256 
oder SHA-512, bei denen alle Zeichen wichtig sind. Ich nehme an, bei eisfair 
wird inzwischen standardmäßig auch ein anderer Algorithmus als DES verwendet 
(dies wird typischerweise in /etc/login.defs mit Hilfe der Variablen 
ENCRYPT_METHOD eingestellt), aber dies wirkt sich nur auf neu erstellte 
Passwörter aus, nicht auf Passwörter, die vor der Konfigurationsänderung 
erstellt wurden.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]