maximale Passwortlänge = 8?

R

RuthServer

Registered User
Hi,

stimmt es daß bei UNIX, Linux-Passwörtern nur die ersten acht Zeichen berücksichtig werden? Wenn ja, warum heißt es dann von "mindestens" 8 Zeichen sollte man zwecks Sicherheit benutzen? Längere Passwörter verlieren ja dann den Sinn, oder?

verstörte Anfängergrüße
 
/etc/login.defs:
#
# Number of significant characters in the password for crypt().
# Default is 8, don't change unless your crypt() is better.
# If using MD5 in your PAM configuration, set this higher.
#
PASS_MAX_LEN 8
 
Das ist bei Windows so, zumindest mit eigenen Tests wiederlegt. Aber ich bin mir da bei Linux oder anderen unixartigen Betriebssystemen nicht so sicher.

[EDIT] Da war jemand schneller als ich [/EDIT]
 
Hi,

warum gibt es dieses Standardeinstellung? Ich muß also statt der 8 dort einfach ne 12 eintragen und alles ist "sicherer" ? Warum wird die Sicherheit erstmal mit max 8 beschränkt? Welchen Sinn hat das?

Grüße

-- jetzt wundert es mich auch nicht mehr, daß ich beim Einloggen über Ftp bei meiner normalen Strato-Domain nur die ersten 8 Zeichen eingeben muß, obwohl es 12 hat. Nur beim Web-Login über die Strato-Hp müssen alle 12 Zeichen eingegeben werden.
 
Last edited by a moderator:
Die Passwortprüfsumme die crypt erstellt ist nur 13 Zeichen lang, davon bestimmem 2 das "Salt". Wenn du einen 11 stelligen Hashwert von einem 12 stellige Passwörter erstellst gibt das nicht mehr Sicherheit weil es automatisch jede Menge Passwörter gibt die auch den gleichen Hashwert haben. 8 Stellen sind deshalb ein sinnvolles Maximum wenn man crypt verwendet.

Linux wartet normalerweise immer eine Sekunde bis es bestätigt das das Passwort falsch ist, bei ~60^8 möglichen Kombinationen sind das 5000000 Jahre bis alle Passwörter durchprobiert wurden. Ein Brute Force Angriff ist im Durchschnitt nach der Hälfte der Zeit erfolgreich, also nach 2500000 Jahren. Ein 8 stelliges Passwort reicht deswegen meist aus (es sei den der Angreifer hat die Prüfsumme des Passworts).

Wenn du umbedingt längere Passwörter haben willst ist es am einfachsten andere Authentifizierungstechniken nutzen, siehe PAM.
 
You must log in or register to reply here.
Back
Top