"Tabt" Password (DEBAT OM LØSNING MÅ VÆRE I FORUM)

[thj01]

I har som admin team besluttet at tage denne debat åbent. Og så kræver det at deltagerne forstår problemstillingen. Derfor bør ALLE vide at ALLE kan lave root arbejde på hvilken somhelst Linux PC man har fysisk adgang til.

Og jeg må tilstå... Jeg har ALDRIG betragtet brugeradministration som værende at bryde koder. Og det gør hverken Canonical, Debian, Redhat, Apple eller Microsoft. Men det gør Ubuntu Danmark?

Data er kun beskyttet hvis det er krypteret - og den slags date er generelt uden for en administrators rækkevidde.

Hacking er ikke det samme som brugeradministration, men min hjælp til en hvis kone har glemt sit password bliver nærmest kriminaliseret? Selvom det er et helt naturligt redskab jeg lærer mine elever at anvende når jeg hr Linux grundkursus med dem.

... Og som jeg har ned i den server guide jeg regner med at lægge ud på nettet snart. Og så vil det ærgre mig voldsomt, hvis jeg må dele det med elever og venner... Men ikke brugere på Ubuntu Danmark? Kommer jeg så også i carambolage med CoC?

Det hænger ikke sammen med virkeligheden

Skrevet på mobil, så undskyld de autokorrekturer jeg ikke har fanget

[Kurt Christensen]

Jeg ved ikke om chrome intergere med nøgleringen eller ej. I en hurtig søgning på nettet så jeg at Chrome intergere med Windows login så hvis de har gjort det samme på Linux er dine adgangskoder sikre så længe du ikke bruger autologin i selve Ubuntu (altså login uden adgangskode).

Jeg logger altid ind ved opstart, det befrier En for så mange andre irriterende ting.

[AJenbo]

I har som admin team besluttet at tage denne debat åbent. Og så kræver det at deltagerne forstår problemstillingen. Derfor bør ALLE vide at ALLE kan lave root arbejde på hvilken somhelst Linux PC man har fysisk adgang til.

Det må lige som også kunne lade sig gøre uden at overtræde reglerne, vi har jo ikke en regel om at vi ikke må snakke om det eller forklare hvor let det er. Blot at du ikke må skrive præcis hvordan eller linke til det.

Hacking er ikke det samme som brugeradministration, men min hjælp til en hvis kone har glemt sit password bliver nærmest kriminaliseret?

Du er ikke blevet kriminaliseret men du vælger at overtræde forummet regler, gentagende gange, selv om der nettop er blevet gjort opmærksom på dem hvilket må anses for at være utrolig flabet.
Jeg syndes også regelen bør tolkes så det ville være muligt at hjælpe med at nulstille koden for folk der har glemt den.

Men ikke brugere på Ubuntu Danmark? Kommer jeg så også i carambolage med CoC?

Nej du kommer i karambolage med forummet regler.

[AJenbo]

Jeg ved ikke om chrome intergere med nøgleringen eller ej. I en hurtig søgning på nettet så jeg at Chrome intergere med Windows login så hvis de har gjort det samme på Linux er dine adgangskoder sikre så længe du ikke bruger autologin i selve Ubuntu (altså login uden adgangskode).

Jeg logger altid ind ved opstart, det befrier En for så mange andre irriterende ting.

Så ville man ikke kunne få fat i dine adgangskoder fra chrom selv om man nulstiller din adgangskode i Ubuntu, og heller ikke via en live cd. For at få adgang skal man knække koden hvilket er noget helt andet.

[thj01]

Der står ingen steder at man ikke må hjælpe med at ændre passwords.

Der står ordret (min markering):

2. Vi hjælper ikke med at

Bryde loven
Bryde kodeord
Hente videoer fra Youtube (det er imod deres ToS)
Omgå DNS-spærringen til fx The Pirate Bay

Jeg ser ikke password administration, ændring, redning som at "bryde kodeord! Hele problemet her ligger i om at "ændre et password" = at "bryde kode"!

Helt konkret drejede denne tråd sig omkring at en bruges kone havde glemt sit kodeord ... og dermed ikke kunne opdatere sin PC.

Og der er reelt ingen forskel på at anvende

Kode: Vælg alt

sudo passwd *brugernavn*

og at boote fra en redningscd og køre samme kommando uden sudo!

I begge tilfælde gør man hvad root nu engang gør - og er det at "bryde kodeord" i det ene tilfælde er det det samme i det andet! For reelt set så betyder denne tolkning at vi fremover ikke kan henvise til den mulighed at genstarte sin Linux maskine med en root-shell - for den måde at gøre det på giver netop ALLE fuld adgang til alt på maskinen ... ud over det som er krypteret af brugerne selv!

Unix was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things.

(doug Gwyn?? https://opensource.com/business/14/12/linux-philosophy)

For mig at se er det hele Linuxfilosofien som den forståelse for "brydning af kode" er på kollisionskurs med ... fuldt ud underbygget af officielle Canonical sider om hvordan man gør dette!

Root er superbruger og SKAL kunne alt! ... og det skal alle Linuxbrugere vide - også Windows, Android, Mac/iOS, ... brugere.

***

Kan det misbruges - JA

Men hvis vi skal til at sørge for at det vi hjælper med ikke kan misbruges, så er der meget hjælp der kommer i gråzonen.


Om ikke andet så burde fokus i denne debat være et andet sted IMHO og if. Claus Henriksen (igen min markering)

Bestemt uenig i beslutningen om ikke at hjælpe med passwords. Det er ret naivt at tro en installation er bare nogenlunde sikker uden kryptering af home/partitions. Hvorfor er det ikke det der er fokus!

***

Jeg bliver nød til at lade den stå her ... for jeg kan ikke argumentere mere/anderledes for det.

For mig at se er rootshell ikke mere end "sudo" - og derfor er det ikke at "bryde kodeord"!

[larslindenborg]

Hej,

normalt følger jeg kun debatten her, men vil da lige komme med et indspark. Hvis debatten er så paranoid som man kan frygte, så bliver dette indlæg sikket slettet/redigeret/modereret...

Jeg har forståelse for at man ikke hjælper med ulovlige ting. Det kan dog være svært at vide om den handling der spørges efter er lovlig eller ulovlig. Der er forskel på at "jeg (eller min kone) har glemt sit password" og så at "jeg har lige 'fundet' et par computere som jeg skal have noget ud af". Hvor jeg vil hjælpe vil være en vurderingssag fra gang til gang.

Da jeg første gang læste tråden, så gemte jeg ikke links til de sider som jeg fandt interessante (dvs. brugbare til password-recovery), de lå jo i tråden. Nu er de så slettet, så jeg googlede disse ord "--redacted--" og fandt ret hurtigt det link jeg var inde på, så blev det lige bogmærket. I øvrigt var der også link til en god video med løsningen. Løsningen serveret på første side i Google. Søgningen burde enhver kunne tænke sig til.

Det er trivielt at finde løsningen allerede. Det er en normal adm-ting. Producenten har også en side (eller 2) hvor proceduren beskrives. Har du maskinen, så har du allerede så godt som adgang. Det taler for at lade guiden stå på nettet.

Hvis jeg ville se de hemmelige ting som "min kone" beskytter med sit login-password, på sin i øvrigt ikke-krypterede Ubuntu maskine, så vil denne reset-password manøvre jo resultere i at min kones password ikke virkede mere. Hun ville derved (hvis hun da tænker, det plejer hun at gøre) være opmærksom på at der er noget fishy i gang. Hvis der var en guide til "at fjen-installere en ekstra bruger med root access", så så kan jeg da godt forstå at den ikke lå på siden. Omvendt, så kunne jeg jo også boote fra en usb-pen og så se hvad der er på maskinen.

Lidt forskelligt, håber det kan kan bruges.

Hilsen Lars

[AJenbo]

Jeg ser ikke password administration, ændring, redning som at "bryde kodeord! Hele problemet her ligger i om at "ændre et password" = at "bryde kode"!

Jeg er enig i din tolkning, men som jeg skrev i den oprindelige tråd er det ikke sådan den har været tolket historisk her på forummet.

Helt konkret drejede denne tråd sig omkring at en bruges kone havde glemt sit kodeord ... og dermed ikke kunne opdatere sin PC.

Jeg syndes ikke vi skal diskutere den konkrete sag. Det er et emne der er kommet op mange gange og jeg syndes vis skal få det ændret generelt.

@larslindenborg og andre:
Jeg forstår ikke augmentet med "jammen; det er nemt at google", der er mange ting man nemt kan finde dem på nettet, det gør dem værgen lovlige eller moralsk ansvarlige. Og hvis enhver kunne tænke sig til det så er der vel heller ikke nogen grund til at vi hjælper med det.

Jeg syndes dog det er godt at du skrev at det i modsætning til andre metoder der kan give folk adgang til systemets filer faktisk efterlader sig tydelige spor (da det oprindelige kode ord ikke længere virker).

Der hvor jeg syndes den anden side har en lille smugle fodfæste er at folk der ikke kan finde ud af at nulstille en adgangskode nok heller ikke kan finde ud af at tilgå folks browser historik fra et fil dump.

[Christian.Arvai]

Da det har været et tilbagevendende spørgsmål i flere år, mener jeg også at man skal tage det som et generelt eksempel, og ikke som en enkelt tråd som man referere til.

Personligt er jeg imod at løsningen er offentlig (jeg ved godt at den er nem at finde), og jeg syntes ikke at den slags bør være offentligt, da det er en ret nem løsning på at "overtage" en stjålet maskine, eller på lign måde skaffe sig uretmæssig adgang til OS.

At en løsning er meget nem at finde online gør ikke det store for mig i en debat, for fx torrents og ulovlig download kan selv 10 år gamle børn finde ud af nu.

At vedtage at løsninger som denne må være offentlige er et skråplan, for hvad gør vi så med de brugere som er gode til algoritmer, og som lige vil vise forums medlemmer hvor god algoritmen er til at finde en given String?

Jeg har selv lavet noget kode, som indeholder ovenstående løsning, og den slags vil jeg heller ikke mene skal offentligt ud, da det mere eller mindre er opskriften på at bruteforce passwords (String kunne evt være et password).

At bruge argumenter som fx "den slags lærer folk alligevel på IT-uddannelser" er ikke brugbar her. Jeg har selv sikkerhed i forbindelse med min uddannelse, og der er store områder indenfor dette fag, som man absolut ikke skal begynde at ligge offentligt ud, som fx "Password-cracking", som jeg skriver opgave om pt.

[AJenbo]

At vedtage at løsninger som denne må være offentlige er et skråplan, for hvad gør vi så med de brugere som er gode til algoritmer, og som lige vil vise forums medlemmer hvor god algoritmen er til at finde en given String?

Jeg syndes ikke et er et skråplan da det kan defineres meget tydeligt. Vi hjælper med at nulstille koden, men ikke med at knække (cracke) koden. Det svare lidt til den funktion der også er på forummet til at få nulstillet ens kontis adgangskode. De 2 ting er helt forskellige og hvorfor man bør kryptere følsom data så det rent faktisk er beskyttet af med en adgangskode.

Som det også er blevet på peget af andre er det noget man kan læse blot ved at kigge i manualen til ethvert styre system. Hvis du i Ubuntu åbner Hjælp er det blot 2 klik (har tjekket Ubuntu 12.04 og 15.10) i menuen for at få en fuld beskrivelse af hvordan man nulstiller adgangskoden. Så det ikke engang noget man behøves at søge på nettet for at finde.
Når Canonical mener det er essentiel information alle bør have med styre systemet syndes jeg det mærkeligt at vi skal prøve at holde låg på det. Det er jo en kendsgerning at folk glemmer deres adgangskoder.

[thj01]

Grunden til at den konkrete tråd er relevant, er netop fordi den nuværende tolkning, hvor mit hjælp bliver slettet - efterlader en bruger i en situation hvor vi reelt skal guide ham til at:

1. Boote med en CD for at kunne ...
2. Omgå passwordbeskyttelsen og kopiere alle hendes data ud på en USB
3. Guide vedkommende til at installere Ubuntu på ny - evt en ældre version da maskinen måske er noget bedaget
4. hjælpe med setup af et nyt system
5. belære vedkommende om, at konen altså skal huske sit password
6 ... og forøvrigt bør han som den kyndige have en administrator konto på PC'en, så han fremover kan administrere sig (if ubuntudanmarks retninglsinier) ud af problemerne med en oprindeligt installeret konto
7. ... som han forøvrigt belæres om at han skal huske sit password til.
8 og det væres ved at skrive "sudo password *konens brugernavn*
9 Køre kommandoen "chage -d 0 *konens password*" så konen ændrer password første gang hun logger på
10 Skriv koden ned og husk den!

og proceduren medfører oven i købet at hun mister alle de kodeord hun har til nettet ... for de er sikkert heller ikke skrevet ind!!!!!!!

Ved at fjerne den i mine øjne tåbelige retningslinie hedder processen

1. -- helt ærligt thj01 nu må du altså snart forstår det --
2. -- næste gang indstiller jeg dig til en advarsel --
3. Skriv "chage -d 0 *konens password*" så konen ændrer password første gang hun logger på
3. Skriv koden ned og husk den!

Det fuldstændig absurde er, at det er NØJAGTIGT samme problemstilling der udspiller sig - han får adgang til en andens data ved at gøre dette i BEGGE TILFÆLDE!

Der er INGEN beskyttelse i den måde retningslinierne pr nuværende bliver tolket - men der er bøvl

[AJenbo]

@thj01 begge metoder ville medføre at personen mister alle de kodeord til nettet når de er krypteret med adgangskoden.

[larslindenborg]

..

egentlig ret enig. Metoden er ikke hemmelig, det ser heller ikke ud til at producenten har ment at den skulle være hemmelig. Så jeg forstår egentlig ikke hvorfor den ikke kan nævnes på dette forum.

Jeg har fuld forståelse for at nogle, af principelle årsager, ikke vil hjælpe en ukendt person, med ukendte motiver, med at få resat et password, men at man ikke må henvise til manualen online eller en af de hjælpsomme Youtube-videoer har jeg altså svært at se logikken i.

Jeg anerkender også at man kan google sig til noget som på ingen måde kan anvendes legalt, men det er jo ikke situationen her. Men der forhindrer vel ikke at jeg opfordrer nogen til at søge efter løsningen, evt. ved at angive passende søgeord?

Dårlig bil-analogi (spring over hvis du ikke kan tage den slags):
Jeg har en bil. I den kan man sætte en fartbegrænser, jeg har sat den til 130 da vi ikke må køre stærkere her i landet. Jeg sælger bilen (eller låner den ud til min kone). Den nye 'indehaver' spørger på et forum om der er nogen mulighed for at ophæve fartbegrænseren. Fremgangsmåden står i manualen, på nettet osv. På forummet er svaret "da man ikke må kører stærkere end 130, vil vi desværre ikke hjælpe dig, da der er risiko for at du bryder loven".

I øvrigt, er det så ikke snart tid til generalforsamling? Så kan det da være at emnet skal op? Både det konkrete (skal vi beskrive hvordan password resettes) og det generelle (hvad kan vi skrive på hjemmesiden).

AJenbo: Hvad nu hvis en bruger joiner en IRC kanal hvor dig og mig også er på for derefter at spørge til hvordan man resetter sit password?

Og er nogen i øvrigt sikker på at de links der allerede er på siden ikke linker til noget som overtræder retningslinjerne? Hvem er ansvarlig for det?

Jeg mener i øvrigt ikke at oplysninger af sikkerhedsmæssig betydning bør holdes hemmelige. Open Source fungere på den måde og jeg havde troet at security-by-obscurity var fortid.

Undskyld, det blev lige lidt længere og kom lidt længere ud end jeg havde regnet med.

Hilsen Lars

[AJenbo]

@larslindenborg: Jeg er ikke sikker, men tror ikke IRC kanalen falder ind under forums retningslinjerne. Men det er ikke mig du skal pege fingeren mod, for jeg er ikke tilhænger af tolkningen som den er nu, jeg har blot den triste opgave at opretholde den. Det besvare vel også spørgsmålet om hvem der er ansvarlig?

[larslindenborg]

@larslindenborg: Jeg er ikke sikker, men tror ikke IRC kanalen falder ind under forums retningslinjerne. Men det er ikke mig du skal pege fingeren mod, for jeg er ikke tilhænger af tolkningen som den er nu, jeg har blot den triste opgave at opretholde den. Det besvare vel også spørgsmålet om hvem der er ansvarlig?

Det besvarer fint spørgsmålene. Men det åbner nye... Bl.a: Hvad var debatten da man vedtog regelsættet? Hvad lagde man i betydningen "at bryde"?

Som du sikkert kan læse ud af sammenhængen, så er vi nogle der tolker bestemmelsen, særligt i den konkrete sag, anderledes. Men det er jo ikke os der har fingrene på den store slet-knap

Men nu er debatten i hvert fald i gang, så kan det jo ske at reglerne (eller er det retningslinjer (og er der betydningsforskel?)) blive ændret/præciseret.

[AJenbo]

Det er fra før min tid, men det kan Christian.Arvai forhåbentlig kaste lidt lys over