passwd hält an, nachdem ein falsches Passwort eingegeben wurde

646
neubert

Angenommen, Sie geben passwd ein und geben das falsche Passwort ein. Es gibt eine merkliche Verzögerung zwischen der Meldung, dass das Kennwort falsch war, und der Eingabe. Irgendwelche Ideen, warum? Scheint irgendwie seltsam ...

Die folgende Meldung wird angezeigt, wenn ich ein falsches Kennwort eingebe:

passwd: Authentication token manipulation error passwd: password unchanged

Vielleicht versucht man, sich vor Brute-Force-Versuchen zu schützen, indem die Geschwindigkeit verringert wird, mit der neue Kennwörter versucht werden können?

Auf welche Weise wird dieses Verhalten irgendwo diskutiert? Ich sehe in der Manpage keine Notiz davon ..

1

2 Antworten auf die Frage

6
Dennis

Ja, dies soll Brute-Force-Angriffe verhindern.

Ein alphanumerisches Kennwort mit 6 Zeichen kann bis zu 36 Bit Entropie enthalten (6 Bit pro Zeichen). Wenn ein Computer 1 Milliarde Passwörter pro Sekunde prüfen kann, 2 ^ 36 / 1 billion = 69dauert es nur wenige Sekunden, um alle möglichen Passwörter auszuprobieren. Eine Verzögerung von einer Sekunde bedeutet, dass nur ein Passwort pro Sekunde versucht werden kann. Alle möglichen Passwörter auszuprobieren, würde jetzt 2179 Jahre dauern ...

Die Verzögerung wird nicht von passwd selbst gehandhabt, sondern von den Pluggable Authentication Modules .

Die Verzögerung kann für passwd deaktiviert werden, indem nodelayder Zeile die Option hinzugefügt wird

password [success=2 default=ignore] pam_unix.so obscure sha512

in /etc/pam.d/common-password. Da dies auch alle anderen Programme betreffen würde, die diese Konfigurationsdatei verwenden, könnten Sie sie kopieren /etc/pam.d/passwdund die Verzögerung nur dort deaktivieren.

Siehe auch: man pam_unix

5
Paul

Ja, die Verzögerung ist ein Schutz gegen rohe Gewalt und beträgt etwa 3 Sekunden.

Der Grund, warum es nicht im passwd man erscheint, liegt darin, dass es normalerweise vom Authentifizierungs-Backend gesteuert wird pam.

man pam_unix

Zeigt an, dass Sie ein einstellen können nodelay, um die Verzögerung zu beseitigen. Sie können auch anwendungsspezifische Verzögerungen in einstellenpam_faildelay

man pam_faildelay

Diese Einstellungen werden alle in verwaltet

/etc/pam.d/*

Verwandte Probleme