web-dev-qa-db-ja.com

/ etc / shadowの同じソルト/ハッシュ値

/ etc/shadowを見ると、ソルトとハッシュの値(したがってパスワード)がまったく同じであるユーザーが何人かいます。

システムはどのようにしてこのようになるのでしょうか?これは、パスワードがpasswdを介して生成されなかったことを意味しますか(passwdがソルトをランダム化したと考えられます)?そして、これは特に悪いですか?

3
krb686

passwdまたはchpasswdを使用してパスワードを設定すると、ランダムなソルトが生成されるため、同じパスワードを使用しているユーザーは、同じハッシュを使用できません。この方法で同じハッシュを使用するには、再起動間のエントロピーを保存しないシステムの構成が間違っている必要があります。また、ランダムシードを繰り返すほど完全に同一のシステム(特にVMで発生する可能性がある場合)が必要です。スナップショットから再開)、および/dev/urandomからまったく同じバイト数を読み取った後に生成されるすべてのパスワード。これはほとんどありません。

したがって、同一のハッシュが表示された場合は、ハッシュがコピーされたことを意味します。偶然に同じパスワードを複数回設定するのではなく、意図的に同じパスワードを作成しました。管理者がパスワードデータベースを直接編集してハッシュをコピーするか、chpasswd -eなどを使用してハッシュを提供しました。

パスワードハッシュを繰り返すことの唯一の悪い結果は、アカウントが同じパスワードを持っていることが明らかになることです。通常の場合のように、異なるソルトを使用すると、パスワードを推測する以外に、2つのアカウントが同じパスワードを持っていることを知ることは不可能です。