1

Я знаю, что одним из способов является применение правил для паролей, использование как минимум одной заглавной, строчной буквы, числа, специального символа и обеспечение того, чтобы длина пароля была не менее 8 символов и т.д.

Есть ли дополнительный способ обнаружения слабых паролей после их создания? Я слышал о "Джоне Потрошителе". Кто-нибудь успешно применил это?

4 ответа4

3

Существуют тонны онлайн-сервисов, которые генерируют безопасные пароли, и сервисы, которые проверяют текущую надежность пароля в один клик (или даже без кликов :)). Лично мне нравится GetSecurePassword, так как он сочетает в себе обе функции.

3

Информацию о RedHat см. В разделе « Защита и усиление производственных систем Red Hat Linux», особенно в разделе « Применение более надежных паролей».

Более общую статью см. В разделе «Усиление удаленного доступа и применение надежных паролей», раздел "Применение политики надежных паролей".

При этом используется pam_cracklib, развертывание которого описано в Linux Password Security с pam_cracklib среди многих других источников.

3

Пароли (если реализация хорошая) хранятся в вашей системе в виде хеш-кода. Кроме того, они должны быть засолены, чтобы скрыть слабые пароли (на случай, если кто-то получит контроль над базой данных). Вы можете прочитать о солях и хранении паролей здесь: http://en.wikipedia.org/wiki/Salt_%28cryptography%29

Если вы прочитаете статью, вы поймете, что все сделано правильно, пароль никогда не будет сохранен. Сохраняется хэш-код пароля + соли и самой соли. То, что вы можете сделать, чтобы проверить свою систему на наличие слабых паролей, - это то же самое, что и хакеры: использовать грубую силу. В вашем особом случае вы можете (если одна соль используется для всех паролей) использовать таблицу с паролями + соль и сгенерированный хэш-код. Это быстро сократит время вычислений, поскольку вам нужно будет только сравнить хэш-коды (это верно только в том случае, если вы используете базу данных более одного раза). Но опять же, это возможно только в том случае, если реализация не является наилучшим возможным решением.

Если вы не запретили использование слабых паролей и хотите, чтобы ваши пользователи использовали надежные пароли, самый простой (единственный) способ добиться этого - заставить пользователей генерировать пароль или проверять их пароль при входе в систему, если пароль все еще хранится в памяти , Таким образом, вы можете легко проверить только надежные пароли для пользователей, "использующих" компьютер. Если вы хотите проверить пароли всех пользователей, ваш выбор - перебор.

Если вы этого не делали в прошлом, решением было бы сбросить ВСЕ пароли со случайными сгенерированными надежными паролями и передать их своим пользователям. При следующем входе в систему вы можете заставить своих пользователей использовать надежные пароли.

Джон Потрошитель - атака грубой силы. Он имеет большой словарь и хранит хеш-коды, а затем запускает это против ваших паролей. Вы всегда можете запустить это, но это должно быть пустой тратой процессорного времени, поскольку вы должны применять надежные пароли.

1

Джон Потрошитель является еще одним инструментом для этого. На самом деле он пытается взломать ваш пароль на основе множества различных методов. Важной особенностью JTR является время выполнения - чем дольше это занимает, тем надежнее пароль.

То, как вы используете его, подробно описано здесь (я избегал ссылок на документацию проекта - это очень редко)

cp /etc/shadow shadow 
john -user:luser shadow

это самый быстрый способ запустить его в работу.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .