Similitudine di password

Volevo cambiare la mia password su una macchina unix. Ho fatto un normale "passwd" e ho digitato la mia vecchia e la mia nuova password.

Poi la macchina tornò da me con il seguente messaggio:

  • trovare la dimensione della pagina e il numero di pagine di un process in linux
  • Comando per generare un file con un elenco di tutti i file con nome ".htaccess"
  • Procedure per confermare un hack sospetto? (Linux)
  • Come recuperare la password di root?
  • Più siti web con un'applicazione SSL
  • Che cos'è un process zombie e come ucciderlo?
  • BAD PASSWORD: is too similar to the old one 

    Questo mi ha fatto pensare … Significa che la macchina ha la mia password in un text chiaro da qualche parte? Altrimenti non dovrebbe essere in grado di confrontare la vecchia e la nuova password, giusto? Oppure c'è una function hash, che lo abilita?

    3 Solutions collect form web for “Similitudine di password”

    OK, quindi ho seguito il suggerimento di Michael Hampton e sono andato a guardare il codice di pam_cracklib.c e sembra che pam_cracklib ottiene la password vecchia (aka corrente) dal PAM tramite una chiamata di function (che ritengo assolutamente ok, come Ho appena inserito quella password corrente per autenticare) e poi esegue un'analisi di somiglianza (function di distanza) tra quella vecchia password e quella appena immessa.

    Ma non fa questa analisi per tutte le vecchie password nella sua storia. Quello non sarebbe ansible, perché sono memorizzati solo come hash. Per loro è ansible verificare se sono uguali. Quindi tutto sembra essere in ordine, proprio come mi aspettavo, ma adesso capisco perché sia ​​… grazie a tutti.

    Le tue vecchie password non vengono memorizzate in text normale.

    Invece, le vecchie hash di password vengono memorizzate in /etc/security/opasswd da PAM. Quindi fa il confronto quando vai a cambiare la tua password, in base a quanto specificato nella configuration PAM.

    Un esempio di configuration PAM:

     password required pam_unix.so sha512 remember=12 use_authtok 

    Qui, remember ricorda di ricordare 12 passwords precedenti.

    Per ulteriori dettagli, vedere Linux Password Security con pam_cracklib .

    Alcuni sisthemes possono memorizzare / calcolare l'entropia (la complessità della password) e confrontarli, non so se sia il caso di PAM.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.