Chciałem zmienić swoje hasło na maszynie uniksowej. Zrobiłem normalny „passwd” i wpisałem moje stare i nowe hasło.
Następnie maszyna wróciła do mnie z następującym komunikatem:
BAD PASSWORD: is too similar to the old one
To sprawiło, że pomyślałem ... Czy to znaczy, że gdzieś moje hasło ma wyraźny tekst? W przeciwnym razie nie powinno być możliwe porównanie starego i nowego hasła, prawda? Czy istnieje funkcja skrótu, która to umożliwia?
OK, więc zastosowałem się do sugestii Michaela Hamptona i poszedłem do kodu pam_cracklib.c i wygląda na to, że pam_cracklib otrzymuje stare (aka) hasło z PAM poprzez wywołanie funkcji (które uważam za całkowicie w porządku, ponieważ Właśnie wprowadziłem to aktualne hasło w celu uwierzytelnienia), a następnie przeprowadzam analizę podobieństwa (funkcja odległości) między tym starym hasłem a nowym, które właśnie wprowadziłem.
Ale nie przeprowadza tej analizy dla wszystkich starych haseł w swojej historii. To nie byłoby możliwe, ponieważ są one przechowywane tylko jako skróty. Dla nich może być tylko sprawdzenie, czy są takie same. Wszystko wydaje się być w porządku, tak jak się spodziewałem, ale teraz rozumiem, dlaczego tak jest ... dziękuję wszystkim.
Twoje stare hasła nie są przechowywane w postaci zwykłego tekstu.
Zamiast tego Twoje skróty do hasła są przechowywane /etc/security/opasswdprzez PAM. Następnie dokonuje porównania, gdy idziesz do zmiany hasła, w oparciu o to, co zostało określone w konfiguracji PAM.
Przykładowa konfiguracja PAM:
password required pam_unix.so sha512 remember=12 use_authtok
Tutaj rememberpowoduje zapamiętanie 12 poprzednich haseł.
Aby uzyskać więcej informacji, zobacz Linux Password Security with pam_cracklib .
Niektóre systemy mogą przechowywać / obliczać entropię (złożoność hasła) i porównywać je, nie wiem, czy tak jest w przypadku PAM.
źródło