Ich kann die letzten Zeichen meines Passworts unter Ubuntu 14.04 weglassen

Wir haben Ubuntu 14.04.3 LTS auf unseren Labor-PCs in meinem College. Ich habe heute einen schwerwiegenden Fehler festgestellt.

Ich kann die letzten Zeichen meines Passworts überspringen und mich trotzdem reibungslos einloggen. Wenn mein Kennwort beispielsweise lautet a1b2c3d4e5f6g7h8, kann ich eingeben und mich a1b2c3d4etrotzdem anmelden. Viele andere Personen haben diesen Fehler ebenfalls bemerkt.

Beachten Sie, dass das Passwort nicht vollständig umgangen werden kann - das Maximum, das ich überspringen konnte, sind 7 Zeichen. Wenn ich versuche, mehr zu überspringen, wird die Meldung " Ungültiges Passwort, bitte erneut versuchen " angezeigt. Beachten Sie auch, dass die zufällige Permutation einer Teilzeichenfolge des Kennworts nicht funktioniert.

Dies passiert auch, wenn ich den Bildschirm manuell sperre und das Passwort erneut eingebe. Derselbe Fehler ist bei der Verwendung vorhanden, sshund auch das Durchsuchen und Durchsuchen des Stapelüberlaufs hat nicht geholfen.

Meine Frage ist - wie behebe ich diesen Fehler, wenn ich ihn überhaupt beheben kann? Unser Sysadm wird nicht vor Montag verfügbar sein, und das beunruhigt mich wirklich.

WICHTIG: Beachten Sie, dass sich keines der Schülerkonten in der Liste der Sudoer befindet. Nur Sysadm verfügt über Root-Zugriff. Außerdem wird Folgendes angezeigt, wenn ich sshauf mein eigenes Konto komme:

Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.13.0-65-generic i686)

* Documentation:  https://help.ubuntu.com/

543 packages can be updated.
350 updates are security updates.

New release '16.04.1 LTS' available.
Run 'do-release-upgrade' to upgrade to it.

UPDATE: Es sieht so aus, als ob das wichtige Problem nicht die Anzahl der am Ende ausgelassenen Zeichen ist, sondern die Tatsache, dass es möglich ist, sich mit den ersten acht oder mehr Zeichen des Passworts anzumelden.

Wenn Sie keinen Administratorzugriff haben, können Sie nicht viel tun.

Dies scheint jedoch auf die Inkompetenz des Administrators zurückzuführen zu sein. Dies klingt verdächtig ähnlich wie die Passwortverschlüsselung mit der klassischen crypt(3)Funktion. Von man 3 crypt:

crypt () ist die Passwortverschlüsselungsfunktion. Es basiert auf den Daten
Verschlüsselungsstandard - Algorithmus mit beabsichtigten Variationen (unter anderem
Dinge) die Verwendung von Hardware-Implementierungen einer Schlüsselsuche zu entmutigen.

key ist das eingegebene Passwort eines Benutzers.

salt ist eine zweistellige Zeichenfolge aus der Menge [a-zA-Z0-9./]. Dies
string wird verwendet, um den Algorithmus auf eine von 4096 verschiedenen Arten zu stören.

Indem Sie die niedrigsten 7 Bits von jedem der ersten acht Zeichen von
Mit dem Schlüssel wird ein 56-Bit-Schlüssel erhalten.   Dieser 56-Bit-Schlüssel wird zum Verschlüsseln verwendet
wiederholt eine konstante Zeichenfolge (normalerweise eine Zeichenfolge, die aus allen besteht)
Nullen). Der zurückgegebene Wert zeigt auf das verschlüsselte Kennwort, eine Reihe
13 druckbare ASCII - Zeichen (die ersten beiden Zeichen stehen für
das Salz selbst). Der Rückgabewert zeigt auf statische Daten, deren Inhalt
wird bei jedem Aufruf überschrieben.

Kommt Ihnen das bekannt vor?

Kein neueres Ubuntu-System verwendet dies standardmäßig. Ihr Administrator muss das Kennwortsetup manuell konfiguriert haben, um dies zu verwenden. Oder sie verwenden möglicherweise eine externe Authentifizierung (LDAP oder ähnliches) und haben diese nicht sicher konfiguriert oder konnten sie nicht konfigurieren.

Siehe auch: Sind Kennwörter auf modernen Unix / Linux-Systemen noch auf 8 Zeichen begrenzt?

In einem früheren Jahrtausend haben alle Unixen ihre Passwörter auf diese Weise verschlüsselt. Verwerfe alles, was über das achte Zeichen hinausgeht, füge Salz hinzu, lösche eine Hash-Funktion und fertig.

Die große Frage ist hier, ob die verschlüsselten Passwörter potenziellen Hackern zur Verfügung stehen. Wenn ja, ist das ein großes Problem. Wenn nicht, ist das wirklich keine große Sache. Acht Zeichen Passwort hat viele Möglichkeiten. Wenn Sie einen tatsächlichen Anmeldeversuch durchführen müssen, um ein potenzielles Kennwort zu überprüfen, dauert es lange, bis Sie eingedrungen sind. Außerdem lösen die Versuche Alarme aus.

Der große Gewinn hier sind also Schattenpasswörter. Dennoch dachten die Leute, dass dies nicht gut genug sei, und jede Unix-Variante implementierte ihre eigene Methode, um die maximale Kennwortlänge zu verlängern. Diese waren nicht mehr kompatibel.

Wenn Sie wollten, dass mehrere Computer mit unterschiedlichen Unix-Varianten dasselbe Kennwort verwenden, mussten Sie für eine Weile die alte Verschlüsselungsart verwenden.

Es ist durchaus möglich, dass dies noch der Fall war, als diese Computerlabore eingerichtet wurden. Und diese Art der Einrichtung hat Trägheit. Neue Clients werden entsprechend dem Server eingerichtet. Neue Server werden entsprechend den Clients eingerichtet.

Heute ist es besser. Es sind weniger Unix-Varianten im Einsatz und sie arbeiten besser zusammen.

Ich bin nicht kompetent genug, um Ihnen zu sagen, wie Sie das beheben können, aber es ist eine Aufgabe für den Administrator, nicht für Sie.