Saya ingin mengubah kata sandi di mesin unix. Saya melakukan "passwd" yang normal dan mengetik kata sandi lama dan baru saya.
Kemudian mesin kembali kepada saya dengan pesan berikut:
BAD PASSWORD: is too similar to the old one
Itu membuat saya berpikir ... Apakah itu berarti, mesin memiliki kata sandi saya dalam teks yang jelas di suatu tempat? Kalau tidak, seharusnya tidak bisa membandingkan kata sandi lama dan kata sandi baru, kan? Atau ada fungsi hash, yang memungkinkan itu?
OK, jadi saya mengikuti saran Michael Hampton dan pergi dan melihat kode pam_cracklib.c dan sepertinya pam_cracklib mendapatkan kata sandi lama (alias saat ini) dari PAM melalui panggilan fungsi (yang saya anggap benar-benar baik-baik saja, seperti Saya baru saja memasukkan kata sandi saat ini untuk mengotentikasi) dan kemudian melakukan analisis kesamaan (fungsi jarak) antara kata sandi lama dan yang baru saya masukkan.
Tapi itu tidak melakukan analisis ini untuk semua kata sandi lama dalam sejarahnya. Itu tidak mungkin, karena mereka hanya disimpan sebagai hash. Bagi mereka hanya akan ada cek jika mereka sama. Jadi semuanya tampak beres, seperti yang saya harapkan, tapi sekarang saya mengerti mengapa itu ... terima kasih semuanya.
Kata sandi lama Anda tidak disimpan dalam teks biasa.
Alih-alih, hash kata sandi lama Anda disimpan /etc/security/opasswdoleh PAM. Itu kemudian membuat perbandingan ketika Anda pergi untuk mengubah kata sandi Anda, berdasarkan apa yang telah ditentukan dalam konfigurasi PAM.
Contoh konfigurasi PAM:
password required pam_unix.so sha512 remember=12 use_authtok
Di sini, remembermenyebabkannya mengingat 12 kata sandi sebelumnya.
Untuk detail lebih lanjut, lihat Keamanan Kata Sandi Linux dengan pam_cracklib .
Beberapa sistem dapat menyimpan / menghitung entropi (kompleksitas kata sandi) dan membandingkannya, saya tidak tahu apakah itu kasus PAM.
sumber