[fli4l] maximale Passwortlänge?
Christoph Schulz
fli4l at kristov.de
Mo Mai 5 15:31:56 CEST 2014
F'up2: s.f.dev, da das Problem auch die aktuelle Tarball-Version betrifft
Hallo!
Hans Bachner schrieb:
> Schönen Abend,
>
> anscheinend ist die Länge des Passworts bei fli4l auf 8 Zeichen
> beschränkt - jedenfalls werden nur die ersten 8 überprüft!
Das ist systembedingt. Wir verwenden immer noch das Standard-crypt(), was
auf DES basiert und alle Passwörter nach acht Zeichen abschneidet (siehe
z.B. [1]), weil DES einen 56-Bit-Schlüssel benötigt und dieser aus den
jeweils sieben unteren Bits der ersten acht Zeichen gewonnen wird.
[1] http://man7.org/linux/man-pages/man3/crypt.3.html
Dem könnte man nur entgegenwirken, wenn man auf MD5 oder SHA256/SHA512
umstellt. Das kann die verwendete uClibc. Momentan beschäftigt sich damit
aber (leider) niemand. Es gibt so viele andere Baustellen...
>
> Nun wird allgemein empfohlen, Passwörter mit *mindestens* acht Zeichen
> zu verwenden; es wäre also durchaus wünschenswert, auch längere
> verwenden zu können. Was ist bei fli4l der limitierende Faktor?
Die Verwendung von crypt(), s.o.
>
> Die Doku sagt zu diesem Thema nichts, außer dass ein Passwort "ab
> Version 1.5 zwingend" ist. Solange keine längeren Passwörter erlaubt
> sind, wäre es auch nett, von mkfli4l eine Warnung zu erhalten, wenn man
> ein längeres Passwort in der Konfiguration stehen hat.
Ja, das ist -- zumindest vorübergehend -- eine gute Idee. Magst du dafür
einen Vorgang in unserem Bugtracker [2] eröffnen?
[2] http://bugs.fli4l.de/
Vielen Dank im Voraus, und viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L