[Fli4l_dev] maximale Passwortlänge?

Christoph Schulz fli4l at kristov.de
Mo Mai 5 15:31:56 CEST 2014


F'up2: s.f.dev, da das Problem auch die aktuelle Tarball-Version betrifft

Hallo!

Hans Bachner schrieb:

> Schönen Abend,
> 
> anscheinend ist die Länge des Passworts bei fli4l auf 8 Zeichen
> beschränkt - jedenfalls werden nur die ersten 8 überprüft!

Das ist systembedingt. Wir verwenden immer noch das Standard-crypt(), was 
auf DES basiert und alle Passwörter nach acht Zeichen abschneidet (siehe 
z.B. [1]), weil DES einen 56-Bit-Schlüssel benötigt und dieser aus den 
jeweils sieben unteren Bits der ersten acht Zeichen gewonnen wird.

[1] http://man7.org/linux/man-pages/man3/crypt.3.html

Dem könnte man nur entgegenwirken, wenn man auf MD5 oder SHA256/SHA512 
umstellt. Das kann die verwendete uClibc. Momentan beschäftigt sich damit 
aber (leider) niemand. Es gibt so viele andere Baustellen...

> 
> Nun wird allgemein empfohlen, Passwörter mit *mindestens* acht Zeichen
> zu verwenden; es wäre also durchaus wünschenswert, auch längere
> verwenden zu können. Was ist bei fli4l der limitierende Faktor?

Die Verwendung von crypt(), s.o.

> 
> Die Doku sagt zu diesem Thema nichts, außer dass ein Passwort "ab
> Version 1.5 zwingend" ist. Solange keine längeren Passwörter erlaubt
> sind, wäre es auch nett, von mkfli4l eine Warnung zu erhalten, wenn man
> ein längeres Passwort in der Konfiguration stehen hat.

Ja, das ist -- zumindest vorübergehend -- eine gute Idee. Magst du dafür 
einen Vorgang in unserem Bugtracker [2] eröffnen?

[2] http://bugs.fli4l.de/


Vielen Dank im Voraus, und viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4l_dev