新しいパスワードが以前のパスワードと似ていることをLinuxはどうのように認識しますか?
何度か私は様々なLinuxマシンでユーザーパスワードを変更しようとしました、そして、新しいパスワードが古いものと類似していたとき、OSはそれらがあまりにも類似していると不満を言いました。
私はいつも疑問に思いました、システムはこれをどのように知っていますか?パスワードはハッシュとして保存されると思いました。これは、システムが新しいパスワードと類似性を比較できるときに、古いパスワードが実際にはプレーンテキストとして保存されることを意味しますか?
passwdを使用するときは、古いとの両方の新しいパスワードを指定する必要があるため、ドライブ上のどこかに書き込まなくても、プレーンテキストとメモリで簡単に比較できます。
実際、パスワードは最終的に保存されるときにハッシュされますが、それが発生するまでは、パスワードを入力するツールはもちろん他のプログラムと同じように直接アクセスすることができます。
これはpasswdツールのバックグラウンドで使用される PAMシステム の機能です。 PAMは最新のLinuxディストリビューションで使用されています。
もっと具体的に言うと、pam_cracklibはPAMのためのモジュールであり、パスワードを非常に脆弱にするいくつかの弱点に基づいてパスワードを拒否することを可能にします。
安全でないと見なすことができるのは、あまりにも似ているパスワードだけではありません。 ソースコード には、チェックできるもののさまざまな例があります。パスワードが回文であるかどうか、または編集距離が2つの単語の間にあるかどうか。その考え方は、パスワードを辞書攻撃に対してより強くすることです。
少なくとも私のUbuntuでは、「あまりにも似た」メッセージが出ました when:"...半分以上の文字が異なる文字です..."(詳細は以下を参照)。 @slhckの回答で明確に説明されているように、PAMサポートのおかげです。
PAMが使用されていない他のプラットフォームでは、次の場合に「あまりにも類似した」メッセージが出ます。"...半分以上の文字が異なる文字です..."(詳細は以下を参照)
このステートメントを自分でさらに確認するには、ソースコードを確認することができます。方法は次のとおりです。
「passwd」プログラムは、passwdパッケージに含まれています。
verzulli@iMac:~$ which passwd
/usr/bin/passwd
verzulli@iMac:~$ dpkg -S /usr/bin/passwd
passwd: /usr/bin/passwd
オープンソース技術を扱っているため、ソースコードへの無制限のアクセスがあります。取得は次のように簡単です。
verzulli@iMac:/usr/local/src/passwd$ apt-get source passwd
その後、関連するコードの断片を簡単に見つけることができます。
verzulli@iMac:/usr/local/src/passwd$ grep -i -r 'too similar' .
[...]
./shadow-4.1.5.1/NEWS:- new password is not "too similar" if it is long enough
./shadow-4.1.5.1/libmisc/obscure.c: msg = _("too similar");
「obscure.c」を簡単に確認すると、これがわかります(関連するコードのみをカットアンドペーストしています)。
static const char *password_check (
const char *old,
const char *new,
const struct passwd *pwdp)
{
const char *msg = NULL;
char *oldmono, *newmono, *wrapped;
if (strcmp (new, old) == 0) {
return _("no change");
}
[...]
if (palindrome (oldmono, newmono)) {
msg = _("a palindrome");
} else if (strcmp (oldmono, newmono) == 0) {
msg = _("case changes only");
} else if (similar (oldmono, newmono)) {
msg = _("too similar");
} else if (simple (old, new)) {
msg = _("too simple");
} else if (strstr (wrapped, newmono) != NULL) {
msg = _("rotated");
} else {
}
[...]
return msg;
}
したがって、今では、古いものと新しいものの両方のチェックに基づいて、両方が類似しているかどうかに基づいた「類似の」関数があることがわかります。スニペットは次のとおりです。
/*
* more than half of the characters are different ones.
*/
static bool similar (const char *old, const char *new)
{
int i, j;
/*
* XXX - sometimes this fails when changing from a simple password
* to a really long one (MD5). For now, I just return success if
* the new password is long enough. Please feel free to suggest
* something better... --marekm
*/
if (strlen (new) >= 8) {
return false;
}
for (i = j = 0; ('\0' != new[i]) && ('\0' != old[i]); i++) {
if (strchr (new, old[i]) != NULL) {
j++;
}
}
if (i >= j * 2) {
return false;
}
return true;
}
私はCコードをレビューしていません。関数定義の直前にコメントを信頼することに自分自身を制限しました:-)
PAMとNON-PAM対応プラットフォームの違いは、次のような構造の「obscure.c」ファイルで定義されています。
#include <config.h>
#ifndef USE_PAM
[...lots of things, including all the above...]
#else /* !USE_PAM */
extern int errno; /* warning: ANSI C forbids an empty source file */
#endif /* !USE_PAM */
答えはあなたが思うよりはるかに簡単です。実際、それはほとんど魔法のような資格があります。
$ passwd
Current Password:
New Password:
Repeat New Password:
Password changed successfully
それはあなたの新しいパスワードが似ていることを知っています...あなたがちょうど前の瞬間に古いものをタイプしたからです。
他の答えは正しいですが、これを機能させるために古いパスワードを指定する必要がないことを言及する価値があります。
実際には、指定した新しいパスワードに似た一連のパスワードを生成し、それらをハッシュしてから、これらのハッシュのいずれかが古いものと一致するかどうかを確認できます。この場合、新しいパスワードは古いパスワードと似ていると判断されます。 :)
1つの側面はカバーされていませんでした:パスワード履歴。一部のシステムはこれをサポートしています。それをするために、それはパスワードの歴史を保ち、現在のパスワードでそれらを暗号化します。パスワードを変更すると、「古い」パスワードを使用してリストを復号化し、確認します。また、新しいパスワードを設定すると、新しいパスワードから派生したキーで暗号化されたリストが保存されます。
これがremember=NがPAMでどのように機能するか(/etc/security/opasswdに格納されている)です。しかし、Windowsや他のUnixベンダーも同様の機能を提供しています。