Я знаю, что одним из способов является применение правил для паролей, использование как минимум одной заглавной, строчной буквы, числа, специального символа и обеспечение того, чтобы длина пароля была не менее 8 символов и т.д.
Есть ли дополнительный способ обнаружения слабых паролей после их создания? Я слышал о "Джоне Потрошителе". Кто-нибудь успешно применил это?
Существуют тонны онлайн-сервисов, которые генерируют безопасные пароли, и сервисы, которые проверяют текущую надежность пароля в один клик (или даже без кликов :)). Лично мне нравится GetSecurePassword, так как он сочетает в себе обе функции.
Информацию о RedHat см. В разделе « Защита и усиление производственных систем Red Hat Linux», особенно в разделе « Применение более надежных паролей».
Более общую статью см. В разделе «Усиление удаленного доступа и применение надежных паролей», раздел "Применение политики надежных паролей".
При этом используется pam_cracklib, развертывание которого описано в Linux Password Security с pam_cracklib среди многих других источников.
Пароли (если реализация хорошая) хранятся в вашей системе в виде хеш-кода. Кроме того, они должны быть засолены, чтобы скрыть слабые пароли (на случай, если кто-то получит контроль над базой данных). Вы можете прочитать о солях и хранении паролей здесь: http://en.wikipedia.org/wiki/Salt_%28cryptography%29
Если вы прочитаете статью, вы поймете, что все сделано правильно, пароль никогда не будет сохранен. Сохраняется хэш-код пароля + соли и самой соли. То, что вы можете сделать, чтобы проверить свою систему на наличие слабых паролей, - это то же самое, что и хакеры: использовать грубую силу. В вашем особом случае вы можете (если одна соль используется для всех паролей) использовать таблицу с паролями + соль и сгенерированный хэш-код. Это быстро сократит время вычислений, поскольку вам нужно будет только сравнить хэш-коды (это верно только в том случае, если вы используете базу данных более одного раза). Но опять же, это возможно только в том случае, если реализация не является наилучшим возможным решением.
Если вы не запретили использование слабых паролей и хотите, чтобы ваши пользователи использовали надежные пароли, самый простой (единственный) способ добиться этого - заставить пользователей генерировать пароль или проверять их пароль при входе в систему, если пароль все еще хранится в памяти , Таким образом, вы можете легко проверить только надежные пароли для пользователей, "использующих" компьютер. Если вы хотите проверить пароли всех пользователей, ваш выбор - перебор.
Если вы этого не делали в прошлом, решением было бы сбросить ВСЕ пароли со случайными сгенерированными надежными паролями и передать их своим пользователям. При следующем входе в систему вы можете заставить своих пользователей использовать надежные пароли.
Джон Потрошитель - атака грубой силы. Он имеет большой словарь и хранит хеш-коды, а затем запускает это против ваших паролей. Вы всегда можете запустить это, но это должно быть пустой тратой процессорного времени, поскольку вы должны применять надежные пароли.
Джон Потрошитель является еще одним инструментом для этого. На самом деле он пытается взломать ваш пароль на основе множества различных методов. Важной особенностью JTR является время выполнения - чем дольше это занимает, тем надежнее пароль.
То, как вы используете его, подробно описано здесь (я избегал ссылок на документацию проекта - это очень редко)
cp /etc/shadow shadow
john -user:luser shadow
это самый быстрый способ запустить его в работу.