Gölge için bir SHA-512 karma şifresi nasıl oluşturulur?

Gördüğüm önceki SF soruları, MD5 karma şifresini üreten cevaplara yol açtı.

Bir SHA-512 karma şifre oluşturmak için önerisi olan var mı? Bir komut dosyası yerine bir liner tercih ederim, ancak bir komut dosyası tek çözüm ise, bu da iyi.

Güncelleme

Önceki py2 sürümlerini bununla değiştirmek:

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

İşte bir astar:

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

Python 3.3+, kullanımı çok daha kolay (ve daha güvenli) yapan mksaltcrypt içerir :

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

Eğer bir argüman girmezseniz crypt.mksalt(kabul edebileceği crypt.METHOD_CRYPT, ...MD5, SHA256, ve SHA512), bu güçlü kullanılabilir kullanacaktır.

Karma değerinin kimliği (ilk numaradan sonraki sayı $) kullanılan yöntemle ilgilidir:

• 1 -> MD5
• 2a -> Blowfish (ana hat glibc'de değil; bazı Linux dağıtımlarında eklendi)
• 5 -> SHA-256 (glibc 2.7'den beri)
• 6 -> SHA-512 (glibc 2.7'den beri)

Tuzların neler olduğunu ve küçük krakerlere göre şifreleme ve karmama arasındaki farkı yorumlamanızı öneririm.

Güncelleme 1: Üretilen dize gölge ve hızlı başlangıç ​​komut dosyaları için uygundur. Güncelleme 2: Uyarı. Bir Mac kullanıyorsanız, bunun beklendiği gibi çalışmadığı bir mac üzerinde python'da bunu kullanma hakkındaki yoruma bakın.

Debian'da , / etc / shadow için uygun farklı karma algoritmalarına sahip şifreler oluşturmak için mkpasswd komutunu kullanabilirsiniz . Whois paketine dahil edilir (apt-file'a göre)

mkpasswd -m sha-512
mkpasswd -m md5

Kullanılabilir karma algoritma türlerinin listesini almak için:

mkpasswd -m help 

HTH

En iyi cevap: grub-crypt

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

İşte çeşitli Unix tipi işletim sistemlerinde SHA-512 şifresini oluşturmak için kısa bir C kodu.

Dosya: passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

derlemek için:

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

kullanımı:

passwd-sha512 <password> <salt (16 chars max)>

SHA-512 karma şifreyi oluşturmak için Perl bir liner çözümü:

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

RHEL 6'da çalıştı

Neden / etc / shadow için tüm parolanın sha512 ile yapıldığından emin olmak için Centos / RHEL makinelerinde aşağıdaki kontrol ve değişikliklerin yapılmaması için. O zaman passworkd komutunu normal olarak passwd komutuyla ayarlayabilirsiniz.

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

İşte rastgele bir tuz ile bir SHA-512 karma şifresi oluşturmak için kabuk komutlarını kullanan bir liner:

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $ (openssl rand -base64 16 | tr -d '+ =' | head -c 16)

notlar

1. "Mkpasswd" sağlayan "whois" paketini (Debian, SuSE vb.) Kurmanız gerekebilir.
2. "/ Etc / shadow" içindeki satırların biçimi hakkında ayrıntılı bilgi için şifreye (3) bakın.

Bu yanıtın güvenlikle ilgili etkileri hakkında bilgi edinmek için aşağıdaki yorumu okuyun

Yakut zihniyet olanlar için burada bir tek astar:

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

Bu komut benim için Ubuntu 12.04 LTS'de çalıştı: https://gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

Diğer alternatiflerin bir kısmının bulunmadığı aşağıdaki özelliklere sahiptir:

• Tuzunu güvenli bir şekilde üretir. Kimse bunu manuel olarak yapmaya güvenmemelidir. Hiç.
• Kabuk tarihinde hiçbir şey saklamaz .
• netlik açısından, birçok kullanıcının şifresini oluştururken iyi olabilecek hangi kullanıcının şifresini oluşturduğunu gösterir.

HASH algoları, MESSAGE özeti üretmek içindir, bir tür HKDF kullanması gereken şifreler için asla uygun değildirler ( http://tools.ietf.org/rfc/rfc5869.txt ) - PBKDF2 veya BCrypt'a bakınız.

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

İsterseniz onu github depomdan klonlayabilirsiniz: https://github.com/antoncohen/mksha

Tek bir astar değil, ama birine yardım edebilir:

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

Açıkçası, sadece 2. alanı kaparsınız ve dosyayı gölgeye ekledikten sonra veya sudo ile kullanmak için silebilirsiniz (yine de büyük olasılıkla gölge).

Crypt (3) için man sayfasına bir göz atın ve crypt aracının glibc ve sha256 (5 $) ve sha512 (6 $), çoklu turlar, çok daha büyük tuz vb. Kullanmaya güncellendiğini göreceksiniz. .

Açıkçası SHA512 / etc / shadow'ın nasıl çalıştığıyla ilgilidir.

Bununla birlikte, bu web sayfası çok yardımcı oldu - özellikle de MKPASSWD, MY problemini çözdü.

Potansiyel olarak "kayıp" bir parola verildiğinde, SHP512 karma değerini oluşturmak için MKPASSWD ve tuzu kullanabilir ve aday parolaların bir listesini onaylayabilir / reddedebilirim.

Yırtıcı John'u kullanırdım - ama en azından benim donanımımda (Raspberry Pi) ve bütçemde (hiçbir şey) - John bunu yapamaz (ahududu ücretsiz sürümünde gelişmiş crypt / glibc işlerini desteklemiyor gibi görünmüyor).

Unutma, okuma / yazma / etc / shadow için yeterli izne sahip olduğum için, karmaşanın üzerine yazabilir ve yaşama devam edebilirim ... bu akademik bir egzersiz.

NOTLAR Glibc notları Bu fonksiyonun glibc2 sürümü ek şifreleme algoritmalarını destekler.

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

Perl / python ile yazılmış bir liner seçeneğine ihtiyacınız varsa, mkpasswd iyi bir eşleşmedir. Debian whois paketine dahil olmasına rağmen, CentOS / RHEL sistemlerinde eksik. Mkpasswd'nin Debian versiyonunu değiştirdim ve OpenSSL'ye dayanan daha güçlü bir tuz üretme mekanizması dahil ettim. Ortaya çıkan ikili, tüm Debian'ın sürüm komut satırı parametrelerini tamamen korur. Kod github'da avaiable ve herhangi bir Linux lezzetinde derlenmelidir: mkpasswd

SHA-512'nin ne ile ilgili olduğundan emin değilim /etc/shadow. Bu şifreler crypted.

Ancak, SHA-512 ile şifrelenmiş bir şifre istiyorsanız, bunu yapabilirsiniz echo -n the_password | sha512sum. / Etc / shadow için çıktıyı kullanamazsınız.