Jak zjistím hesla ostatních uživatelů, když znám root heslo? (vyřešeno)

Zjistit uživatelská hesla je úkol pro kvantový počítač, protože jsou "zahešována". Nicméně root může poměrně snadno tato hesla změnit.

27.5.2021 08:00 Tomáš Pelc | skóre: 22 | blog: multimedialni_pc_k_LCD_TV
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Více info např. tady: Where and how are passwords stored on Linux?

27.5.2021 08:02 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

případně se na uživatele přepnout nebo vykonat pod ním příkaz. Má přistup k hashum, takze brute force.

27.5.2021 08:04 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

S tým BruteForce (alebo aj so slovníkovým lámaním) mu prajem veľa zdaru, a kvalitnú grafickú kartu s podporou OpenCL.

27.5.2021 08:19 j
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

lol ... estli to sou useri jako vsude, tak ty hesla nebudou delsi nez 3 pismena. Takze jich mas 90% do 5 minut.

Zajimavejsi to ovsem bude po pravni strance ... hnedle nekolik trestnych cinu.

---

Dete s tim guuglem dopice!

27.5.2021 10:52 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

V poslednej dobe zdvihli linuxové distribúcie východziu dĺžku hesla zo 6 na 8 znakov, ale veľa krát to je nastavené len ako varovanie. Takže kľudne môže mať aj kratšie heslá. Dosť užívateľských hesiel bude aj v slovníkoch s uniknutými heslami ktoré sú "ľahko zapamätateľné".

Ohľadne právnej stránky: Je otázka či chalan potrebuje overiť či užívatelia používajú bezpečné heslá. Ale tu by som len pritvrdil politiku, a vyzval na zmenu hesla (aj s info aké sú kritériá).

27.5.2021 12:11 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Dosť užívateľských hesiel bude aj v slovníkoch s uniknutými heslami

kdyby se neopakovala porad ta sama hesla nebyly by slovníky hesel. Tedy formulace dost hesel bude ve slovnikach s uniknutyma heslama mi prijde takova dost .....

2.6.2021 19:00 jee jako jeliman
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Takze jich mas 90% do 5 minut

To mluvis o heslech k cemu?

27.5.2021 16:32 jee jako jeliman
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

takze brute force

Vhledem k tomu co jsi napsal na zacatku, tak by to delal jen aby vedel jake heslo pouzil treba ze by to mohl pouzit treba i ve web sluzbach ale to by musel pouzit i stejne jmeno a to uz by byla moc velka nahoda, ze by nekdo takovy mel i nejaky cenny obsah kdekoli.

Hesla jako taková se nikam neukládají , čili je odnikud nejde výtáhnout. Nepíšete o jakém Linuxu je řeč,ale obecně, v /etc je soubor shadow v něm najdete seznam uzivatelů a něaký hash jejich hesla. Funguje to tak, že uživatel zadá heslo, z něj OS vypočítá jeho hash a ten pak porovnává s hash uložený v shadow souboru pro daného uživatele, pokud se shoduje je heslo OK pokud se neshoduje není.

Pak existují něco jako rainbowtable, to jsou obrovské databáze předpočítaných kombinací znaku, řekněme pro 1 až 8,... znaků. Pokud daný uživatel má heslo do 8,.. znaků lze (některé tabuly jsou dostupné online) do nich zadat hash a oni vrátí odpovídajíc heslo. Pokud uživatelelovo heslo je první sloka z máje obecně cokoliv nad 12 znaků tak máte smůlu s každým znakem se velikost databáze zvyšuje orientačně 40x a tak velké RT uchovává tak NSA. Heslo uživatele tedy nemáte šanci zjisit, ale pokud u daného uživatele do souboru shadow umistite hash třerba strjný jako máte u root bude mit uživatel stejné heslo jako root. format řádku v shadow něco jako


pi:$6$m85Pcdua$h9l9lYvEI8KJ.yih/9E1SFY7blarDc4QPIDZKOMdxrHxT9zkHZOXclRCk/dUAbtLPyGIn6mqn0GMdVrn3U2Kx0:17994:0:99999:7:::
messagebus:*:17994:0:99999:7:::

uživatel, zde pi , odělovací dvojtečka pak hash hesla ož po dalčí dvojtečku $6$ je info o použitém hash algoritmu 6 je SHA-512 hash je pro default heslo tedy raspberry

31.5.2021 21:35 ehmmm
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Stejny hash = stejne heslo?

To tam neni nejaka sul, treba id uzivatele?

31.5.2021 22:11 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

V původním passwd hashe osolené nebyly. Pak se hashe přesunuly do shadow, aby se k nim nedostal nikdo jiný než root. Pak se začaly solit, aby ani root nemohl použít duhové tabulky.

1.6.2021 01:39 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Je tam sůl, v tomto konkrétním případě m85Pcdua.

Zeptáš se jich.

uid=0(root) gid=0(root) skupiny=0(root)

1.6.2021 21:01 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Pokud uživatelé znají alespoň základy bezpečnosti, heslo nikomu neřeknou.

1.6.2021 21:24 j
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Jirsak prave priletel z venuse ... pred hodinou sem prcal usera kterej primo predemnou diktoval svoje heslo druhymu.

Jaky z toho plyne ponauceni? Priste heslo nediktovat pred blbym ITkem. Enforce dostali oba.

Minulej tejden sem zcela random narazil na verejnym disku na soubor ... s heslama celyho oddeleni.

Kdyz ted zvednu telefon a zavolam libovolnymu userovi at mi rekne heslo, tak mi ho obratem rekne. A staci na to, kdyz vim jak se jmenuje ITk, ze vola z neznamyho cisla nikoho nedojme.

Kdyz pudu po ulici a budu lidem rikat ze delam pruzkum pouzivanosti platebnich karet, jestli mi ji ukazou, tak mi ji ukaze 80% znich, kdyz jim nabidnu za odmenu trebas malou cokoladu, tak vsichni. To co uvidim (a pripadne si nafotim) mi na zaplaceni tou kartou bohate staci, v 30% ziskam i pin.

A az budu chtit cracknout nejakou firmu, staci kdyz si najdu, jak se jmenuje reditel (maximalne tak jeste jeho pes pripadne jeho nabijecka, podle veku). Uspech 100% zarucen. Overeno na pokusnych subjektech (na nemocnice to funguje taky zcela spolehlive, reditele lze alternovat s primarem).

---

Dete s tim guuglem dopice!

2.6.2021 08:42 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Takže vaši uživatelé neznají ani základy bezpečnosti. Normálně by se tím správce nechlubil, ale u vás to odpovídá. Možná byste se mohl zamyslet, proč mají uživatelé potřebu hesla mezi sebou sdílet.

Řešení 1× (candat)

2.6.2021 14:40 j
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Jirsak, zalez na ruut, a precti si mitnika, ten nikdy nic nehackoval, ale to bezmozek jako ty nemuze vedet.

Mimochodem ubedebil tvy kategorie samozrejme nemuze chapat, ze useri a jich neschopnost neni vec admina, ale kokotu z HR. Kdyby to bylo na me, tak do minuty vykopnu od kazdyho zakaznika 80% zamestnancu. Ovsem ty bys byl zarucene prvni.

---

Dete s tim guuglem dopice!

3.6.2021 01:14 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Minul si sa povolaním, mal si ísť radšej robiť na HR keď vravíš že si v tom lepší ako keď ťa nútia robiť IT Admina.

2.6.2021 16:56
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

To určitě. Každý řekne. Můžete jen doufat, že si ho potom snad možná alespoň někdo z nich změní.

2.6.2021 21:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Zvláštní. Mně se ta první věta „pokud uživatelé znají alespoň základy bezpečnosti“ normálně zobrazuje. Ale evidentně ji někteří nevidí.

3.6.2021 08:01
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Ta věta se normálně zobrazuje. Ale ti uživatelé, co dodržují základy bezpečnosti, ne.

3.11.2021 09:47 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Je zajímavé, že nikomu z vás nedochází proč to vůbec tazatel potřebuje řešit.

Situace, se kterou se běžně setkávám já je, že uživatel svoje heslo zapoměl a pak žebroní po ajťákovi aby mu ho ideálně zjistil, protože se mu nechce vymýšlet si heslo nové.

Admina hesla uživatelů nezajímají, protože je obvykle k ničemu nepotřebuje. A přihlášení přes heslo používá jen v případě, že se potřebuje přihlásit ze stroje kde nemá klíč.

3.11.2021 10:31 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Tak admin tomu užívateľovi to heslo zmení, a nastaví príznak že si užívateľ musí pri prvom prihlásení zmeniť heslo. A zamyslí sa či nie je rozumné používať vo firme nejakú bezpečnú kľúčenku na heslá.

Ale otvoriť túto diskusiu po spame od Britanny (o jednej ráno, úplne dole), to sa mi zdá trochu mimo.

3.11.2021 11:48 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Ale otvoriť túto diskusiu po spame od Britanny (o jednej ráno, úplne dole), to sa mi zdá trochu mimo.

A proč ne, když tu tenhle pohled na věc nikdo nezmínil?

3.11.2021 11:31
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Takže uživatel sice heslo neudrží v paměti, ale místo aby zvolil jiný způsob jeho vymýšlení, chce nazpátek své osvědčené. ;-)

3.11.2021 11:46 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Ač smutné, přesně tak. Mnoho lidí se velice těžko smiřuje s tím, že by si měli zapamatovat jiné heslo a pokud je systém donutí použít něco nač nejsou zvyklí, obratem takové heslo zapomínají a pak se vám budou do krve dušovat, že tam měli „to svoje heslo co používají pořád” a teď to nefunguje. A chybu pochopitelně nehledají u sebe.

3.11.2021 14:01 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Tak prečo vo firme neprejdete na biometriu ak si užívatelia nedokážu zapamätať heslo, alebo nemôžu používať dvojfaktorovú autentifikáciu alebo "Password Wallet"?

Ja uznávam že súčasné nároky na bezpečné heslo sú dosť vysoké. Ale autentifikácia je nielen o hesle.

3.11.2021 14:42 Want
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

8-D To nejsou firemní uživatelé. Ti, pokud používají heslo často a pravidelně s jeho zapamatováním obvykle problém nemají. Jsou to lidé, co s oblibou využívají volbu "zapamatovat heslo" a když se jim pak někdy z nějakého důvodu nepovede přihlásit, obrací se na ty o kterých se domnívají, že jim to heslo vydolují.

3.11.2021 15:58 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Tí, čo využívajú voľbu "zapämatať heslo", už používajú "Password wallet". Akurát to nemajú synchronizované s "bezpečným cloudom" naprieč ich zariadeniami. Takže keď si kompletne vyčistia profil, sadnú za iný počítač ako ich pracovnú stanicu, alebo dokonca ten počítač preinštalujú, tak o tie heslá môžu logicky prísť.

Rozporuplný výraz "bezpečný cloud" nerozoberám nech nevznikne flame.

4.11.2021 09:43 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Tí, čo využívajú voľbu "zapämatať heslo", už používajú "Password wallet".

Co tě nemá. Nemají ani tušení o čem mluvíš. Přicházíš vůbec do styku s běžnými uživateli, co nemají počítače jako hobby, nebo práci?

4.11.2021 13:02 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

To že nevedia čo používajú, neznamená že to nepoužívajú.

Bežne prichádzam s takými užívateľmi do styku.

4.11.2021 18:01 j
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Ty ses musel uplne zblaznit ... biometriku ve firme vubec pouzivat nesmis, naprosto nepripada v uvahu, to bys musel provozovat tak mozna neco jako jadernou elektrarnu nebo silo s jadernejma raketama. Jinak nemas naprosto zadnou sanci to obhajit. To jsou vubec nejvic chraneny osobni udaje vubec. A abys neco takovyho provozovat moh, musis jedna obhajit, ze to z duvodu kriticky bezpecnosti nutne potrebujes (a pak to nemuze byt jen o nejaky biometrice, ale taky o elektrickych plotech, a ozbrojeny ostraze) a i tak musis 100% zajistit, ze se k tem datum nikdo nikdy nedostane a pokud jo, tak ti firmu automaticky zrusej.

A dvoufaktor je fajn ... presne do okamziku, kdy jedinej HW kterej pouzivas je standardni desktop. Sem zvedav jak to budes resit pri prihlasovani se z cehokoli jinyho a k cemumoli krom standarniho desktopovyho systemu.

Tuhle se mi kolega chlubil, jak ma notes s TPMkem a v tom TPMku jsou henty klice k VPNce. Tak sem konstatoval, ze to je ale uplne stejny, jako kdyby tam zadny klice nemel, protoze kdyz mu ten notes nekdo slohne, je ve firemni siti natotata ...

---

Dete s tim guuglem dopice!

4.11.2021 18:32 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Ako že by mal na firemnom stroji autologin bez hesla, a/alebo nekryptovaný disk? To je aj na trolling slabé.

Dotaz: Jak zjistím hesla ostatních uživatelů, když znám root heslo?

Odpovědi