Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: password security breach  (gelezen 750 keer)

Offline ivo

  • Lid
  • Steunpunt: Nee
password security breach
« Gepost op: 2009/01/31, 20:59:22 »
Het is eigenlijk heel slecht dat bij de grafische login elke keer een balletje wordt
getoond voor elk teken dat je typt. Het betekent dat iemand kan zien hoe lang jouw
wachtwoord is en dat die persoon bij een hacker poging alle wachtwoorden die een andere
lengte hebben, al bij voorbaat niet hoeft te proberen.
Nou, dat scheelt nogal in dat soort circuits.
Een gewone telnet-login is dan nog veiliger, die laat niks zien.

Eigenlijk is dat gewoon een vette security breach.
Is het tonen van die balletjes uit te schakelen?

« Laatst bewerkt op: 2009/02/02, 16:20:47 door ivo »
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline heir4c

  • Lid
  • Steunpunt: Nee
Re: password security breach
« Reactie #1 Gepost op: 2009/01/31, 21:15:25 »
Ok hier ben ik weer,  ;)
Effe herhalen:
Ik heb ergens gelezen dat je meer dan 8 tekens kan gebruiken (zelfs héél veel) om als wachtwoord te dienen maar als je dan inlogd moet je enkel de eerste 8 tekens invullen en dan kan je inloggen. Dit om crackers het heel moeilijk te maken om binnen te raken. Weet iemand hier meer over.


Offline AutoStatic

  • Lid
    • autostatic
    • linux.autostatic.com - Audio Productie & Linux
  • Steunpunt: Nee
Re: password security breach
« Reactie #2 Gepost op: 2009/01/31, 21:27:32 »
Is het tonen van die balletjes uit te schakelen?
Ja. System - Administration - Login Window en dan een vinkje zetten bij "Hide visual feedback in the password entry".

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: password security breach
« Reactie #3 Gepost op: 2009/01/31, 21:41:51 »
Ok hier ben ik weer,  ;)
Effe herhalen:
Ik heb ergens gelezen dat je meer dan 8 tekens kan gebruiken (zelfs héél veel) om als wachtwoord te dienen maar als je dan inlogd moet je enkel de eerste 8 tekens invullen en dan kan je inloggen. Dit om crackers het heel moeilijk te maken om binnen te raken. Weet iemand hier meer over.


Wat jij beschrijft zou het hackers juist makkelijker maken, want ze hoeven alleen maar tot maximaal 8 tekens te hacken.
Het ligt eraan welke autenticatiemethode gebruikt wordt, dat is niet op alle Unices dezelfde.
Op Sun Solaris was het een aantal jaren terug zo, dat je de lengte van het password kon definieren (bijvoorbeeld 8) maar als je dan meer tekens dan die 8 intikte dan was dat geen probleem.
Op Ubuntu kun je e.e.a. regelen in /etc/pam.d/common-password.
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline siegi

  • Lid
  • Steunpunt: Nee
Re: password security breach
« Reactie #4 Gepost op: 2009/01/31, 21:57:42 »
Bwa niet overdrijven. Als het wachtwoord 8 tekens lang is duurt het nog altijd heel lang voor het gekraakt is.
En daarbij komt nog dat linux zich beschermt tegen krakers door een bepaalde tijd te laten wachten.
http://nl.wikipedia.org/wiki/Wachtwoord > bij 6 tekens duurt het al enkele dagen.

Offline heir4c

  • Lid
  • Steunpunt: Nee
Re: password security breach
« Reactie #5 Gepost op: 2009/02/01, 00:32:48 »
Wat jij beschrijft zou het hackers juist makkelijker maken, want ze hoeven alleen maar tot maximaal 8 tekens te hacken.
Nee, nee, ik bedoel echt dat je heel veel tekens kan invoeren voor het password maar dat als je via jouw hardware (toetsenbord natuurlijk) enkel de 8 eerste moet intikken maar als je van buiten de computer komt, bijv. via internet, je dan wel alle tekens moet vinden voor je binnen kan.

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: password security breach
« Reactie #6 Gepost op: 2009/02/02, 16:22:00 »
Is het tonen van die balletjes uit te schakelen?
Ja. System - Administration - Login Window en dan een vinkje zetten bij "Hide visual feedback in the password entry".

Dit blijkt, zo merk ik nu, alleen voor het login scherm te werken.
gksudo bijvoorbeeld, echoed nog steeds balletjes.
There are only 10 types of people in the world; those who understand binary and those who don't.