URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138850
[ Назад ]
Исходное сообщение
"Выпуск shadow-utils 4.19 с признанием устаревшим механизма ограничения времени действия паролей"
Отправлено opennews , 01-Янв-26 12:07 
Доступен выпуск инструментария shadow-utils 4.19.0, включающего утилиты для управления учётными данными пользователей и групп, а также хранения паролей в отдельном файле /etc/shadow, доступном только пользователю root и группе shadow. В состав входят такие утилиты, как useradd, userdel, usermod, pwconv,  groupadd, groupdel,  groupmod, pwunconv,  pwck, lastlog, su и login. Код инструментария написан на Си и распространяется под лицензией BSD...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64541

Содержание
Сообщения в этом обсуждении
"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено anonymous , 01-Янв-26 12:07 
Менять пароли - это всё ещё безопасно. Но только если пользователи действительно хотят менять пароли. А если не хотят, а их заставляют - то начинается итальянская забастовка. Когда пароли вроде бы меняются, а лучше бы не менялись.
"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено онанист , 01-Янв-26 12:24 
Менять пароли - это всё ещё безопасно.

примерно так же, как ключи к замку.

"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 12:39 
Смысл менять пароли был только если один пароль используется в нескольких местах, если пароль уникален и надежен то смена на безопасность не влияет.
"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 12:52 
> если пароль уникален и надежен то смена на безопасность не влияет.

Влияет, вот я запустил условный брутфорс и мой пароль начинается там на символ "k", а тем временем атакующий еще только брутфорсит символ "g", вот взял сменил пароль и он начинается уже на символ "a", то есть атакующий уже проверял данный пароль, в таком случае пробрутфорсит до "конца" и не наткнется на пароль :)

"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено penetrator , 01-Янв-26 13:53 
если пароль уникальный и случайный длиной около 20 символов (например c1PuKrnmBYsfievymPx - энтропия 113 бит), то перебирать ты его будешь даже имея все мощности планеты больше чем текущий возраст Вселенной

а если пароль у тебя linuxforever то конечно смысла в таком паароле нет вообще

"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 15:00 
> энтропия 113 бит

ну квантовый за 2^56 попыток отгадает если не быстрее :)

"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 14:37 
Удачи побрутить тот же scrypt, лол.
"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 12:49 
> итальянская забастовка

[T]OTP как терминальная стадия

"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено нах. , 01-Янв-26 12:51 
Ух ты, хоть где-то еще не окончательно победила идиотия!

"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 12:58 
> Код инструментария написан на Си

Годно! Отличный язык. Чтобы на нём писать, нужно обладать высокой квалификацией, следовательно эти утилиты не дураки писали.

"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 13:54 
Да да. Я когда на старой работе работал, там была периодическая смена пароля. Каждый день вбивал на автомате. Но когда выходил из отпуска, несколько минут сидел в ступоре, т.к. с трудом вспоминал этот пароль.
"Выпуск shadow-utils 4.19 с признанием устаревшим механизма о..."
Отправлено Аноним , 01-Янв-26 14:48 
> Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен

Лучше бы принудительную ротацию сертификатов исследовали, чтобы ткнуть форум подАНБшников в их лицемерия.