Verhindern der Klartextanzeige des Passworts beim login

[fidor]

hiho,

eigentlich ist das gar keine FreeBSD Frage, aber auch keine Server Frage. Wie auch immer. Jetzt ist's hier gelandet, evt. falsches Forum sein mir verziehen.

Man stelle sich folgende Szene vor:
Man sitzt an nem Rechner, hinter einem steht n Typ, dem man mall schnell was zeigen will. Also fix eingeloggt und los gehts. Denkt man sich so zumindest. Doch plötzlich steht das Passwort im Klartext auf dem Bildschirm. Was ist passiert? Ganz einfach: In der Zeit zwischen der Eingabe des Benutzernames und dem Aufpoppen des Passwort Prompts wird alles in plain auf den Monitor geschrieben. Man war einfach mit der Eingabe zu schnell bzw. der Rechner zu lahm. Sehr ärgerlich daran ist nun, dass der Typ hinter einem das Passwort kennt.

Genau. Das passiert mir in regelmäßigen Abständen. Kann ich dem Computer irgendwo reintreten, damit der das nicht mehr macht?

System ist ein FreeBSD 5.2.1. Eigentlich wäre aber eine systemübergreifende Lösung schön.


Gruss und Dank
fidor(..)

 

[flomul]

Geduld, Geduld

Du musst warten, bis das Passwortfeld erscheint. Dann kannst
Du dein Passwort eingeben. Muss ja nicht so hektisch sein.

 

[Flas]

passiert mir dessöfteren das man den ersten buchstaben sieht, aber ich denke das liegt mit an der leistung deiner maschine!

Gruss Flas!!

 

[bsd5543]

also das ist mir schon mehrfach per ssh beim Kommando su passiert.
Glücklicherweise hats keiner gesehen, trotzdem sollte so was doch nicht sein.

cheers

 

[flomul]

Eben: Geduld. Zuerst auf den Bildschirm schauen, bevor man
das Root-Passwort eingibt. Da muss man hald selbst ein
bisschen aufpassen. Vor allem, wenn jemand neben einem
steht.

 

[marzl]

freebsde kann ja nix dafür das deine möhre so langsam is

 

[rakso]

Ich glaube auch, das es bei diesem eher sozialen Problem sinnvoller ist, KEINE Softwaretechnische Lösung zu bauen, so es denn eine gäbe.



Immer erst reden, wenn man gefragt wird ;-)

 

[CMW]

wenn du x laufen hast mach den xdm an, dann passiert sowas nicht.

 

[bsd5543]

Das mit "Geduld" kann man höchstens als workaround bezeichnen .

Das ist eine richtige Sicherheitslücke!
Da die Hardware ausreichend dimensioniert ist, kommt es bei mir lokal nicht vor. Aber wenn man remote auf die Maschine zugreift, kann man 16 UltraSparc-Prozessoren haben und es würde nichts bringen. Und wegen sowas bohrt man doch nicht seine Leitung auf.

cheers

 

[marzl]

Das ist eine richtige Sicherheitslücke!

wo is denn da die sicherheitslücke?
du ruft z.b. putty auf, gibst die bsdkiste an, connectest dich.
jetzt fragt er dich nach deinem usernamen <ENTER>
jetzt wartet das programm auf eine serverantwort, in dieser zeit gibst du schonmal das passwort ein ohne drauf zu achten, ob die remote maschine bereit ist. was kann denn bsd dafür (oder jedes andere os)? das musste mir mal erklären.

 

[Illuminatus]

@marzl
FULL ACK

@bsd5543
ähnliches ist mir auch einmal passiert, aber ich habe den Fehler nie bei BSD/*nix deswegen gesucht. Man kann dochwohl ein halbe Sekunde abwarten und darauch achten was man wann und wo eintippt.

 

[[moR-pH-euS]]

Das mit "Geduld" kann man höchstens als workaround bezeichnen .

Das ist eine richtige Sicherheitslücke!
Da die Hardware ausreichend dimensioniert ist, kommt es bei mir lokal nicht vor. Aber wenn man remote auf die Maschine zugreift, kann man 16 UltraSparc-Prozessoren haben und es würde nichts bringen. Und wegen sowas bohrt man doch nicht seine Leitung auf.

cheers

das ist wirklich eine verheerende sicherheitslücke *kopfschüttel*.
ich connecte mich ständig auf irgendwelche server via ssh und hatte das problem noch nie, da ich immer erst das passwort eingebe wenn passwort da steht... ich sehe da kein problem.
und wenn dich das so nervt kannst du ja einfach die ssh-publik keys von deiner kiste auf die server kopieren (ohne passwort) dann musst du kein pass mehr eingeben. ist allerdings nicht unbedingt zu empfehlen, da dann jeder, der den publik-key von dir hat, sich auf die kisten connecten kann...

 

[fidor]

also wenn ich mich über SSH einlogge dann warte ich natürlich auch immer auf den passwort prompt. Aber lokal? Also das ist n 900 MHz'er Da rechne ich nicht damit, dass es 1 sec. dauert bis der passwort Prompt aufpoppt. Is ja auch nicht so das das immer passsiert. Normalerweise ist der sofort da. Manchmal dauert es aber länger und genau in dem Moment steht natürlich jemand hinter einem. Murphys Law halt.

Wie auch immer. Ich finde auch nicht das das ne Sicherheitslücke ist, aber....
Es wäre einfach ganz nett wenn die Ausgabe der stdin zwischen Eingabe des Benutznamens und des Passwort aus wäre. Das wäre ein Feature, welches zumindest _ich_ ganz nett finden würde. Und anscheinend ein paar andere Leute auch. Also zurück zur Frage:

Ist eine Möglichkeit bekannt die stdin Ausgage zwischen Benutzernamen und Passwortprompt auszuschalten, oder muss ich jetzt die login prozedur patchen ? (<- Falls das überhaupt geht.)

Ach ja an xdm hab ich natürlch auch gedacht, ist aber nicht akzeptabel.


[edit]
War gerade auf Klo und dabei fallen einem ja bekanntlich immer die besten Sache ein
Also das Ding ist ne Sicherheitslücke! Ganz klar. Allerdings ist es keine FreeBSD Lücke sondern eine Sicherheitslücke im Benutzer (also bei mir ) Trotzdem gibt es im Moment nur eine Möglichkeit diese Sicherheitslücke zu schliessen, und zwar nur in BSD selber. Na wie auch immer..........
[/edit]

Gruss
fidor(..)

 

[bsd5543]

Wenn die Möglichkeit besteht, das Passworte im Klartext angezeigt werden, wenn sie es nicht sollen, ist also nach Eurer Meinung keine Sicherheitslücke? Hmmh.
Ich sehe schon ein, dass das Problem nicht direkt bei FreeBSD zu suchen ist, aber der Kommunikationsprozess der Software könnte ruhig etwas Optimierung erfahren.

cheers

 

[marzl]

der anwender ist immer eine sicherheitslücke *scnr*

 

[Maledictus]

ist allerdings nicht unbedingt zu empfehlen, da dann jeder, der den publik-key von dir hat, sich auf die kisten connecten kann...

falsch, man braucht deinen private key, und der sollte gut gesichert sein