Hash mit alternativem Passwort und neumen User

[velo]

Weil Ihr schon drüber redet, hätte ich eine verwandte Frage:

Vorwort/ Annahme:
- In der shadow Datei (Linux) wurde das Passwort ja mit dem Usernamen zum Hashwert "verschmolzen".
- Man kann ja scheinbar verschiedene Passwörter verwenden, die den gleich Hash ergeben. Angenommen das Passwort "Frankenstein" und "abc12" hätten den gleichen Hashwert.

Frage: Würde dann der Hashwert bei unterschiedlichen Usernamen noch vergleichbar sein wenn man das alternative Passwort einsetzen würde? Oder ist das alternative Passwort nur in Kombination mit dem original-usernamen möglich?

Beispiel / Annahme:

Original mit dem Passwort "Frankenstein" oder alternativ "abc123":

Peter:$1$W133a53f$v6g2xudvs2MxadYRJ7f6y0
Hans:$1$W563743f$v6gudterge2xxrd3532f86j

... neue Usernamen, aber mit dem original Passwort ("Frankenstein"):

Frauke:$1$24zik53f$v6gedfdvs2MxadYRw8i6y0
Otto:$1$W43egz3f$v6gudawege2xxwer532f86j

(Hash ist Unsinn, soll nur zur leichteren Vorstellung dienen)

... Würde bei der zweiten Version das alternativ-Passwort "abc123" auch noch funktionieren?

 

[Elderan]

Hallo,
1. es ist Unwahrscheinlich das zwei so gleiche Strings den gleichen Hashwert ergeben.
2. Linux/Unix verschlüsselt Standardmäßig die PW's mit DES, als Key und als Klartext wird das Passwort genommen.
Allerdings werden davor 2. zufällige Buchstaben gehängt, so wenn 2. User das gleiche PW haben, nur eine Chance von 1 zu 26^2 besteht, dass dort der gleiche Hash steht.

3. Der Username beeinflusst nicht den Hashwert.
4. Wenn du eine Kollision zum Passwort gefunden hast, dann funktioniert diese bei jedem anderem der das gleiche Passwort hat auch, denn die haben den gleichen Hashwert, wären da nicht die beiden Anfangsbuchstaben

 

[velo]

Das mit den 2 zufälligen Buchstaben erklärt dann den Unterschied, bei dem ich fälschlicherweise annahm, dass der aus dem Usernamen kommt.

Dann kann ich doch daraus folgern: Wenn ich den Hashwert von einem User zum anderen User kopiere, dass dann das Passwort erhalten bleibt?

Diese Frage ist für mich wichtig, da ich nen Server-Umzug durchführen muss, bei dem sich die Usernamen ändern. Aber das sollte dann mit einem Copy/Paste zu erledigen sein hoffe ich.

------

sorry das ich nen neuen Thread gestartet habe, das war ein Versehen, ich wollte eigentlich in eine Diskussion einsteigen, deswegen " Weil Ihr schon drüber redet".

 

[sheepd]

Jo, auf die Weise hab ich mir schon paar mal eine zerschossene Gentoo-Installation gerettet.
Einfach mit LiveCD gebootet, neues Passwort per passwd erstellt, Hash rüberkopiert in die lokale Shadow-Datei, und fertig ist das neue PW.
Auf dich übertragen heißt das, du solltest ohne weitere Probleme das alles umkopieren können.