User-Passwort hacken.

[i-lancer]

Mit dieser Zeile kann man beim aktuell angemeldeten User das PW ändern ohne das man das alte kennen muss:


sudo dscl localhost -passwd /Search/Users/DEINANGEMELDETERUSER

Viel Spass damit

Gruß
i-lancer

 

[italien01234]

weiß zwar nicht wozu ich das jemals brauchen sollte, aber interessant!

 

[Zitlo]

...ähm, aber für den sudo-Befehl brauch man doch das Passwort?


Edit:
Das ist wohl die Quelle: "http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html"

 

[Andi]

und der user muss admin sein.

 

[redweasel]

Tolle Wurst. Wenn du das Administrator bzw. root-Passwort hast (welches du für diesen Befehl brauchst).

 

[silentx]

Also bei mir funktioniert das nicht, den der sudo-Befehl fragt wirklich nach dem Passwort

 

[Zitlo]

Ich hab keine zwei Accounts, daher weiß ich nicht wie es da aussieht.
Vielleicht kann das ja jemand testen:
Als Admin das Pw von einem anderen User ändern

 

[noodyn]

schon schlecht, wenn man nicht mal richtig abschreiben kann:

in order to change the password of the currently logged in user, simply use:
$ dscl localhost -passwd /Search/Users/USERNAME

da ist nix mit sudo, denn du änderst nur dein eigenes Passwort. Ganz grosses Kino.

 

[i-lancer]

Bei mir gings vorhin ohne PW. Jetzt nicht mehr. Komich.

 

[redweasel]

Na das ist doch nützlich - für den Fall, dass man sein eigenes Passwort vergessen hat seit dem letzten Login

 

[i-lancer]

schon schlecht, wenn man nicht mal richtig abschreiben kann:

Dafür kannst Du besser blöd daherreden – copy and paste ist angesagt und meine Quelle war halt anders als Deine. So what – na ja aber das bischen besser fühlen gönne ich Dir gerne.

Gruß
i-lancer

 

[mikrowellenpiet]

Bei mir gings vorhin ohne PW. Jetzt nicht mehr. Komich.

Wenn man kurz nach einer Eingabe des Kennwortes bei sudo erneut sudo ausführt, muss man das Kennwort nicht nochmal eingeben.

 

[i-lancer]

Wenn man kurz nach einer Eingabe des Kennwortes bei sudo erneut sudo ausführt, muss man das Kennwort nicht nochmal eingeben.

Verstehe.

 

[MacAllstar]

Man kann Passwörter auch einfach mit der Installations-DVD ändern ohne das alte Passwort zu wissen. Da gibt es unter Dienstprogramme den Punkt "Kennwörter zurücksetzen".

Ein Benutzerkennwort ist also ziemlich nutzlos wenn man seine Daten vor unberechtigtem Zugriff schützen will. Es schützt bestenfalls davor, dass jemand "im Vorbeigehen" Unfug treiben kann.

 

[David X]

Der einzige Schutz vor einem Scherzbold, der physikalischen Zugriff auf den eigenen Rechner hat, besteht darin ein EFI-Kennwort (oder aktiviertes FileVault2) zu haben und den Desktop wirklich immer mit Kennwort zu schützen, wenn man den Rechner kurz verlässt. Gerade unter Lion ( wobei es unter Lion genauso wie unter allen vorherigen OS X-Versionen noch eine weitere recht schnelle Methode dafür gibt) ist es lächerlich schnell und einfach Passwörter aller Benutzer zurückzusetzen, da ist der in diesem Thread erwähnte Terminalbefehl für den aktuellen Benutzer ja langweilig (wenn auch noch schneller ausgeführt).

 

[Gondomir]

Das ist echt böse, dass man als Admin die Userpasswörter ändern kann. Ist aber auf Unix seit den 70er Jahren so üblich und gewollt.

 

[MacAllstar]

Das ist echt böse, dass man als Admin die Userpasswörter ändern kann. Ist aber auf Unix seit den 70er Jahren so üblich und gewollt.

Man kann jedes Passwort, auch Admin-Passwörter, ohne irgendwelche Rechte ändern und nicht nur als Admin die User-Passwörter. Das Passwort unter OS X ist bestenfalls so als würde ich den Schlüssel vom Haus immer nur unter die Fußmatte stecken.

 

[redweasel]

Das ist bei praktisch jedem System so, auch bei Windows, sobald man physischen Zugriff auf das System hat.
Abhilfe bietet eigentlich wie schon erwähnt nur eine Verschlüsselung der Daten.

 

[wegus]

Das auslösende Halbwissen stammt wowohl aus dem Artikel hier - wobei der Artikel konkreter wird:

http://www.heise.de/newsticker/meld...Passwortknackern-unnoetig-leicht-1345451.html

demnach ist das Problem auch ein ganz anderes (falsche Rechte) und öffnet somit zumindest theoretisch Angreifern ein Tor. Obiges Kommando funktioniert nur unter sehr unsinnigen Bedingungen, auch das ist im Artikel beschrieben.

 

[Udo2009]

Das ist echt böse, dass man als Admin die Userpasswörter ändern kann. Ist aber auf Unix seit den 70er Jahren so üblich und gewollt.

Eben, dafür ist ein Admin ja da, das System zu administrieren. Und dazu gehört auch die Kennwortvergabe und -änderung... Wir sollten hier mal in großen Maßstäben denken (= Rechenzentrum in einigermaßen großer Firma) und nicht den Sinn für's Ganze auf dem "Familiencomputer" suchen...