The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Arch Linux прекращает поддержку MD5 и SHA1 для новых паролей

09.06.2021 09:40

Разработчики Arch Linux предупредили пользователей, что начиная с обновления пакета libxcrypt 4.4.21 в дистрибутиве при указании новых паролей будет запрещено использование уязвимых схем хэширования паролей, таких как MD5 и SHA1. Для учётных записей, для проверки паролей в которых уже используются хэши MD5 и SHA1, при попытке входа будет выведено предупреждение с предложением обновить пароль. Для тех, кто использует дисплейный менеджер, один раз необходимо переключиться в текстовую консоль (CTRL+ALT+F3) и войти в свою учётную запись.

  1. Главная ссылка к новости (https://archlinux.org/news/sor...)
  2. OpenNews: Выпуски пакетного менеджера Pacman 6.0 и инсталлятора Archinstall 2.2.0
  3. OpenNews: В установочные образы Arch Linux добавлен инсталлятор
  4. OpenNews: Arch Linux, Fedora, Debian, Slackware и openSUSE могут отказаться от поставки Chromium
  5. OpenNews: Выпуск механизма управления теневыми паролями tcb 1.2
  6. OpenNews: В Fedora 35 намечен переход на yescrypt для хэширования паролей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55303-arch
Ключевые слова: arch, password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, lockywolf (ok), 10:18, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –27 +/
    А просто перекодировать и ничего не спрашивать им слабо?
     
     
  • 2.4, Аноним (4), 10:30, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +32 +/
    Что перекодировать?

    Чтобы перехешировать пароль, тебе нужно этот пароль знать. Поэтому у пользователя и запросят пароль. В новости это подано так, что пароль надо будет непременно сменить, но никто не запрещает ввести и дальше использовать прежний.

    Имея лишь хеш пароля, ты его никак не переведёшь на другой алгоритм хеширования.

     
     
  • 3.5, lockywolf (ok), 10:42, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Что перекодировать?
    > Чтобы перехешировать пароль, тебе нужно этот пароль знать. Поэтому у пользователя и
    > запросят пароль. В новости это подано так, что пароль надо будет
    > непременно сменить, но никто не запрещает ввести и дальше использовать прежний.
    > Имея лишь хеш пароля, ты его никак не переведёшь на другой алгоритм
    > хеширования.

    А для логина пароль не спрашивают, да?

     
     
  • 4.7, Аноним (7), 10:48, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это не винда, что бы "ты будешь делать так, как мы говорим, а не как ты хочешь". Хочешь - меняешь, не хочешь - не меняешь, свободная стра^W ось.
     
     
  • 5.10, Lex (??), 11:14, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А задалбывать уведомлениями о "небезопасности" - это по инициативе пользователя происходит или ему это таки навязывают не спрашивая ?
     
     
  • 6.14, ананим.orig (?), 11:26, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    и подпись -
       задолбанный лекс.

    зыж
    именно такие потом и хотят догнать и приченить всем добро.

    ззыж
    для вменяемых - а в сабже уже запретили настраивать pam-модули как хочешь?
    или речь идет все же про настройки по дефолту?

     
  • 6.24, Аноним (24), 12:40, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну так пользуйтесь теми ОС, которые рассчитаны на пользователей вроде вас, кому вопросы информационной безопасности не так важны, как отсутствие всяких страшных напоминаний.

    А ещё можно попробовать придумать и воплотить самому схему получше, чем то, что сделали в Arch Linux.

    Выбор есть всегда.

     
  • 5.29, Аноним (29), 14:06, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > свободная ось

    Свободная?!

    "при указании новых паролей будет запрещено использование"

    Запрещено... А можно всё-таки я сам решу, что мне использовать?

     
     
  • 6.31, Аноним (31), 15:11, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Создай свой болгенос и "решай" там всё, что тебе захочется.
     
  • 6.35, Lex (??), 15:38, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> свободная ось
    > "при указании новых паролей будет запрещено использование"
    > Запрещено... А можно всё-таки я сам решу, что мне использовать?

    Это другое

     
     
  • 7.49, Аноним (49), 17:42, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    МС теперь детей подряжает поносить Линукс? Хоть бы у взрослых спросили, что-такое дистрибутив Линукс и как это работает. У нас тут самообслуживание. Сопроводители пакетов работают на волонтерской основе и ничьи капризы исполнять не обязаны, у них тоже есть и права, и свободы. А если кто у мамы уже большой выбирать себе нескучные хэш-функции, тот может и посопровождать пакеты со своими нелепыми хотелками.
     
  • 6.39, Аноним (39), 17:00, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не обновляй libxcrypt, если уж так хочется, но последствия будешь расхлебывать сам.
     
  • 3.6, Аноним (6), 10:46, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Пользователь для входа вводит пароль, сверяем его со старым хешем, если совпадает, то заменяем старый хеш новым, нет?
     
     
  • 4.18, Аноним (39), 11:49, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не факт, что логину вообще доступна база паролей за запись.
     
  • 4.19, анонн (ok), 12:05, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользователь для входа вводит пароль, сверяем его со старым хешем, если совпадает, то заменяем старый хеш новым, нет?

    И что будет, если:



    $ mount
    /dev/gpt/rootfs on / (ufs, local, noatime, read-only)



    Или это "проблемы старперов", т.к. ставить рутфс по умолчанию на RO уже давно не молодежно?

     
     
  • 5.37, тигар.логиниться.лень (?), 16:32, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а давно в рач завезли поддержку ufs ?
    зыж ты наверное один из последних юзающих ufs вместо zfs;)
     
     
  • 6.38, анонн (ok), 16:54, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а давно в рач завезли поддержку ufs ?

    А какая разница? Или я опять пропустил какую-нибудь новую и прогрессивную умную управлялку "systemd-smartrootfsd", умеющую в случае надобности перемонтировать RO как RW (и обратно)?

    > зыж ты наверное один из последних юзающих ufs вместо zfs;)

    Перефразируя классика:
    Слухи о RIP UFS сильно преувеличены! (с) ;)



    commit f9b3922257ba343c824784f727da1805e71ce8d8
    Author: Mark Johnston <markj@FreeBSD.org>
    Date:   Mon May 31 18:56:34 2021 -0400

        ffs: Correct the input size check in sysctl_ffs_fsck()
        
        Reported by:    KMSAN
        Reviewed by:    mckusick
        Sponsored by:   The FreeBSD Foundation

    commit f9738ecc411548be9a8f67c5d33839c6e886b8b3
    Author: Kirk McKusick <mckusick@FreeBSD.org>
    Date:   Sun May 16 17:02:42 2021 -0700

        Fix handling of embedded symbolic links
        
        Sponsored by: Netflix

    commit 8340548bc84bf1cbfa678febb08e0aa0293fd935
    Author: Don Morris <dgmorris@earthlink.net>
    Date:   Thu May 20 10:54:38 2021 -0400

        ufs: Avoid M_WAITOK allocations when building a dirhash
    PR:             253992
        Reviewed by:    markj, mckusick, vangyzen



     
     
  • 7.45, тигар.логиниться.лень (?), 17:36, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не, коммиты-то я видел, но не читал, ибо UFS у меня нет много лет как нигде
     
  • 6.40, Аноним (-), 17:04, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > юзающих ufs вместо zfs ;)

    ZFS на локалхосте не нужен и избыточен, поэтому все бздшники юзают юфс и не парятся.
    конечно, бывают и исключения, но они редки, ибо смысла в прожорливой и монструозной фс на локалхосте нет никакого, а юфс универсальна, мобильна и быстра.

     
     
  • 7.44, тигар.логиниться.лень (?), 17:34, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я тебе как бсд-шник скажу - слухи о ее прожорливости/монструозности/тд сильно преувеличены. с 7-current root-on-zfs пользуюсь, памяти в том ноуте, емнип, было всего 2Г, хватало.
    А перешел как раз из-за кривого su+j, возможно, с тех пор (коммиты-то были, но мне уже было пофиг) это и починили, но осадочек-то остался. Кривость в том, что после не корректного шатдауна журнал никак не помогал с "загрузись само, без fsck руками"
     
  • 3.9, Lex (??), 11:14, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > имея лишь хеш пароля, ты его никак не переведёшь на другой алгоритм хеширования

    Но ведь.. алгоритмы небезопасные, стало быть, пароль без труда можно подобрать или "восстановить".
    Или они просто так решили выкинуть старые алгоритмы хеширования как "небезопасные" и прикрутить новые ?)

     
     
  • 4.11, Мамкин Хакер (?), 11:23, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    без труда можно - неможно, только с трудом
    или "восстановить" - на мыло новый прислать? У вас W10, без пароля, под админом.
     
  • 4.42, Аноним (39), 17:07, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю, ты не обрадуешься, если тебе вместо пароля пропишут рандомную строку, имеющую hash collision c твоим паролем.
     
  • 4.50, Аноним (49), 17:46, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, им нужно было брутфорс хэша пароля при обновлении запустить. И как тебя, такого гения, только земля носит.
     
  • 3.12, Alex (??), 11:25, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он просто из тех специалистов которые хранят пароль в открытом виде и рядом хеш пароля для работы с ним.
    Если вдруг нужно сменить рабочий хеш - просто перекодировал пароль и все!

    Чего запариваться.

    Б - безопасность.

     
  • 2.25, Аноним (25), 12:40, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что на каникулы задали читать?
     

  • 1.2, Аноним (2), 10:18, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И как теперь быть?
     
     
  • 2.3, Аноним (3), 10:23, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Начиная с libxcrypt 4.4.21, слабые хэши паролей (такие как MD5 и SHA1) больше не принимаются для новых паролей. Пользователям, пароли которых всё ещё хранятся со слабым хешем, будет предложено обновить их при следующем входе в систему.

    Если войти в систему не удается (например, из display manager), переключитесь на другой виртуальный терминал tty (Ctrl-Alt-F3) и войдите в систему один раз.

     
     
  • 3.8, Мамкин Хакер (?), 11:11, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ctrl-Alt-F3 - тогда уж, и как выйти - обычно Alt-F7 или Alt-F8 или Alt-стрелка влево или вправо
    пока не попадете обратно, где графика, держу в курсе :) Сейчас же будут нажимать любопытные.
     
     
  • 4.23, Аноним (25), 12:39, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >обычно Alt-F7 или Alt-F8

    Привет убунта

     
     
  • 5.27, Мамкин Хакер (?), 13:19, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Привет убунта - спасибо, не знал, оказывается:

    В Ubuntu 18.04 они изменили ситуацию, и вы не можете попасть на tty1, он всегда показывает менеджер дисплеев / экран входа в систему. Если вы войдете в систему, вы не сможете добраться до tty2, потому что он становится GUI для первого вошедшего в систему пользователя. Традиция показа обоих графических интерфейсов на tty7 закончилась.
    Вы можете перейти к tty3, нажав Ctrl+ Alt+ F3, tty4, нажав Ctrl+ Alt+ F4, tty5, нажав Ctrl+ Alt+, F5и tty6, нажав Ctrl+ Alt+ F6.
    Затем вы можете переключаться между tty3-6, нажимая Altсоответствующую F-клавишу.
    Наконец, вы можете вернуться к GUI с помощью Alt+ F1для выбора входа в систему или Alt+ F2для рабочего стола вошедшего в систему пользователя.

    https://qastack.ru/ubuntu/1033206/switch-to-console-in-ubuntu-18-04-how-to-lea

     
     
  • 6.43, Аноним (39), 17:14, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем вы даете ссылку на этот рак интернета с автопереводом?
    https://askubuntu.com/questions/1033206/switch-to-console-in-ubuntu-18-04-how-
     
     
  • 7.46, Мамкин Хакер (?), 19:27, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где я скопипастил,туда и ссылка :)
     

  • 1.15, Ненавижу SJW (?), 11:30, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Самая короткая статья на опеннете))
     
     
  • 2.32, Аноним (32), 15:16, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    KISS
     

  • 1.16, ан (?), 11:33, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Только An0m и military шифрование! (;
     
  • 1.17, Аноним (17), 11:46, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А какие хеши сейчас самые безопасные?
     
     
  • 2.22, Анонимные (?), 12:38, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Которые никто не понимает: ECC, ChaCha....
     
     
  • 3.30, morphe (?), 15:02, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну это и не хеши, первый - асимметричный шифр, второй - симметричный. Да и что значит "никто не понимает"?)

    А для паролей надо использовать bcrypt/argon2/scrypt

     
     
  • 4.33, Аноним (33), 15:17, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Да и что значит "никто не понимает"?)

    Такой сейчас тренд ИБ. Если кому-то понятно как это работает - априори уязвимо. Если никому непонятно как это работает, но это работает - безопасно.

     
     
  • 5.36, СеменСеменыч777 (?), 15:50, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а что если кто-то скрывает свое понимание
    (и более того, дает подписку о неразглашении),
    а сам притворяется что не понимает ?
     
     
  • 6.41, Аноним (-), 17:06, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    иб=стандарты+рутина, догадки в эмпирее сознания это к убыткам, конфликтам и развалу брака.
     
  • 2.52, Сейд (ok), 13:12, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Kupyna
    https://ru.wikipedia.org/wiki/Kupyna
     

  • 1.20, Аноним (20), 12:07, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если в Мозилле отключить SHA1, то в гугл-акк не войдёшь, Mega тоже использует ненадёжное шифрование.
     
     
  • 2.21, Аноним (21), 12:30, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А если в Гугле или Майкрософте?
     
  • 2.26, Аноним (24), 12:41, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В огороде бузина, а в Киеве дядька
     

  • 1.34, Аноним (-), 15:28, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На Manjaro стоит пакет libxcrypt 4.4.22-4. Ничего не требовало.
     
  • 1.47, Плохой Танцор (?), 22:26, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Archlinux прекращает поддержку Archlinux. Все пакеты установленные ранее, объявляются устаревшими. Всем пользователям Archlinux рекомедуется manual intervention которое requires. Школотроны вернулись на летние каникулы, красота...
     
     
  • 2.51, Аноним (49), 17:50, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так беги на пляж, отдохни от компьютера. Заодно и родители от тебя отдохнут.
     

  • 1.48, Плохой Танцор (?), 22:33, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Тот самый момет когда понимаешь, что любой отчёт об ошибке всегда можно выдать за новость об Арче.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру