¿Las contraseñas en los sistemas modernos de Unix/Linux aún están limitadas a 8 caracteres?

Question

Hace años solía ser que las contraseñas de Unix estaban limitadas a 8 caracteres, o que si hacía una contraseña de más de 8 caracteres, el extra no suponía ninguna diferencia.

¿Sigue siendo así en la mayoría de los sistemas Unix/Linux modernos?

En caso afirmativo, ¿cuándo se hicieron posibles las contraseñas en la mayoría de los sistemas?

¿Hay una forma fácil de saber si un sistema dado admite contraseñas más largas y, de ser así, cuál sería el máximo efectivo (si lo hubiera)?

He hecho algunas búsquedas en la web sobre este tema y no he podido encontrar nada definitivo; gran parte de lo que surgió fue a partir de la década de 2000 cuando creo que el límite de 8 caracteres todavía era común (o lo suficientemente común como para justificar el cumplimiento de ese límite).

Answer 1

En glibc2 (cualquier distribución moderna de Linux) la función de cifrado de la contraseña puede usar MD5/SHA-xxx (provocada por un prefijo sal mágica) que luego se trata como significativa todos los caracteres de entrada (ver man 3 crypt). Para una prueba sencilla en su sistema, usted podría intentar algo como:

#!/bin/perl -w 
my $oldsalt = '@@'; 
my $md5salt = '$1$@@$'; 
print crypt("12345678", $oldsalt) . "\n"; 
print crypt("123456789", $oldsalt) . "\n"; 
print crypt("12345678", $md5salt) . "\n"; 
print crypt("12345678extend-this-as-long-as-you-like-0", $md5salt) . "\n"; 
print crypt("12345678extend-this-as-long-as-you-like-1", $md5salt) . "\n"; 

(lo que en mi sistema da)

@@nDzfhV1wWVg 
@@nDzfhV1wWVg 
$1$@@$PrkF53HP.ZP4NXNyBr/kF. 
$1$@@$4fnlt5pOxTblqQm3M1HK10 
$1$@@$D3J3hluAY8pf2.AssyXzn0 

Otras variantes * ix apoyo similar - por ejemplo, crypt(3) since at least Solaris 10. Sin embargo, es una extensión no estándar: POSIX does not define it.

Answer 2

Encontrará este article de interés. Hay algo llamado PAM (Password Authentication Module) que ejecuta su contraseña a través de una serie de módulos (configurados en /etc/pam.d/passwd o /etc/pam.conf) para determinar si la contraseña es válida o no.

Answer 3

No es para Linux. Es solo 8 si desactiva MD5 Hashing.

http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/security-guide/s1-wstation-pass.html

Puede administrar las políticas ya hacer cumplir y contraseñas más complejas así.

Las longitudes completos se discuten aquí:

http://www.ratliff.net/blog/2007/09/20/password-length/

Answer 4

pienso en todo el tiempo en que las contraseñas reales fueron trasladados desde/etc/passwd a la sombra, en Linux. Supongo que alrededor de 2000, Red Hat 6.x tenía contraseñas largas IIRC. Alrededor del año 2000 todavía había mucho SUN antiguo, y tenían límites de contraseña y nombre de usuario.

Answer 5

¿Está preguntando sobre el algoritmo crypt?

http://linux.die.net/man/3/crypt

"Al tomar los 7 bits más bajos de cada uno de los ocho primeros caracteres de la clave ..."

"La versión glibc2 de esta función tiene las siguientes características adicionales. ... La clave completa es significativa aquí (en lugar de solo los primeros 8 bytes) ".

Aquí hay un indicio de cuánto tiempo ha pasado este cambio.

Glibc 2 HOWTO 
    Eric Green, ejg3@cornell.edu 
    v1.6, 22 June 1998 

Answer 6

Aunque el original DES-based algorithm sólo se utilizan los primeros 8 caracteres de la contraseña, Linux, Solaris y otros sistemas más nuevos ahora, además, apoyar a otros algoritmos hash de la contraseña como MD5 que no tienen este límite. Algunas veces es necesario continuar usando el algoritmo anterior si su red contiene sistemas más antiguos y si se usa NIS. Se puede decir que el antiguo algoritmo basado en DES todavía se está utilizando si el sistema iniciará sesión cuando ingrese solo los primeros 8 caracteres de su contraseña de> 8 caracteres.

Como es un algoritmo hash, MD5 no tiene un límite intrínseco. Sin embargo, varias interfaces generalmente imponen some limit of at least 72 characters.

Aunque en un principio la contraseña cifrada se almacena en un archivo legible por todos (/etc/passwd), ahora se suele almacenar en una base de datos separada sombra (por ejemplo /etc/shadow) que sólo es legible por root. Por lo tanto, la fortaleza del algoritmo ya no es tan importante como lo era antes. Sin embargo, si MD5 es inadecuado, Blowfish o SHA se pueden usar en cambio en algunos sistemas. Y Solaris admite módulos de encriptación de contraseñas conectables, lo que le permite usar any crazy scheme. Por supuesto, si está utilizando LDAP o alguna otra base de datos de usuarios compartidos, deberá seleccionar un algoritmo que sea compatible con todos sus sistemas.