Как проверить Вашу систему на слабые пароли
Я знаю, что один путь состоит в том, чтобы осуществить правила о паролях, использовать по крайней мере один верхний регистр, нижний регистр, число, специальный символ, и гарантировать, что длина пароля является по крайней мере 8 символами и т.д...
Существует ли дополнительный способ обнаружить слабые пароли, после того, как они были сгенерированы? Я слышал о "John превосходного человека". Кто-либо имеет успешный, применил это?
3 ответа
Для Redhat посмотрите Обеспечение и Укрепление Red Hat Производственные Системы Linux и особенно раздел Enforcing Stronger Passwords.
Для более общей статьи посмотрите на Осуществлении Укрепления и Сильного пароля Удаленного доступа, разделе "Enforcing Strong Password Policy".
Это использует pam_cracklib, развертывание которого описано в безопасности Пароля Linux с pam_cracklib среди многих других источников.
Пароли (если реализация хороша), сохраненный как хэш-код в Вашей системе. Кроме того, они должны посолиться для сокрытия слабых паролей (в случае, если кто-то получает власть базы данных). Можно читать о солях и устройстве хранения данных пароля здесь: http://en.wikipedia.org/wiki/Salt_%28cryptography%29
При чтении статьи, Вы поймете, тот сделанный исправляются, сам пароль никогда не будет храниться. То, что хранится, является хэш-кодом пароля + соль и сама соль. То, что Вы могли сделать для попытки системы за слабые пароли, является тем же самым, которое делают хакеры: использование грубой силы. В Вашем особом случае Вы могли (если одна соль используется для всех паролей), используют таблицу с паролями + соль и сгенерированный хэш-код. Это уменьшит время вычисления быстро, поскольку необходимо будет только сравнить хэш-коды (Это только верно при использовании базы данных несколько раз). Но снова, это только возможно, если реализация не является самым лучшим решением.
Если не запретили слабые пароли, и Вы хотите, чтобы Ваши пользователи использовали сильные пароли самое легкое (только) способ достигнуть, это путем принуждения пользователей в поколении пароля или проверки их пароля при входе в систему, пока пароль все еще хранится ясный в памяти. Таким образом можно только легко проверить на сильные пароли для пользователей, "использующих" компьютер. Если Вы хотите проверить пароли всех пользователей, Ваша опция является грубой силой.
Если бы Вы не сделали этого в прошлом, решение состояло бы в том, чтобы изменить ВСЕ пароли со случайными сгенерированными сильными паролями и вручить тем, которые Вашим пользователям. При следующем входе в систему можно вынудить пользователей использовать сильные пароли.
John Превосходный человек является атакой перебором. Это имеет крупный словарь и сохраненные хэш-коды и затем выполняет это против Ваших паролей. Вы могли всегда выполнять это, но должны быть пустой тратой процессорного времени, поскольку необходимо осуществить сильные пароли.
John Превосходный человек является другим инструментом для использования для этого. Это на самом деле пытается взломать Ваш пароль, базирующийся прочь большого количества различных методов. Важной вещью с JTR является время выполнения - чем дольше это берет, тем больше безопасное пароль.
Путем Вы используете его, детализирован здесь (я постарался не связываться с documentatoin проекта - это очень редко),
cp /etc/shadow shadow
john -user:luser shadow
самый быстрый метод должен разбудить его и выполнение.