Linux md5 şifresinin şifrelenmesi güvenli midir?

2

RHEL6'mda linux MD5 şifre karma kullanacak şekilde yapılandırılmış şifre güvenliği için MD5'in linux kullanımı güvenli sayılıyor mu?

linux  security  passwords  hashing 
ams
kaynak
AFAIK, MD5 şifre karma değerleri, şifre dosyasını okumayı sağlayacak bir güvenlik arızası durumunda etkiyi azaltır. Yine de, MD5 karmaları korunursa kaba zorlama daha kolay hale gelir. Bu yüzden MD5 şifre karma "güvenli" değil "güvenli" olduğunu düşünüyorum.
snies
1
Asıl nokta, eğer biri ayrıcalık aldıysa: okumak /etc/shadow dosya, bir muhtemelen almış root ayrıcalıklar ve her şey yine de kaybolur. Bir daha sonra örneğin olabilir. dosyadaki şifreyi boşaltmanız veya örn. passwd ne olursa olsun değiştirmek için login Kullanıcı parolayı girdiğinde günlüğe kaydetmek için ikili, sadece tüm dosyaları doğrudan kısıtlama olmadan okuyun, vb. "Rooter" kötü niyetli ise tüm güvenlik bağlamlarında köklü bir kutu mahkumdur. Düz metin içinde saklamamak, en azından "kazayla" kökleri veya başka bir şeyi engeller.
Daniel Andersson

Yanıtlar:

3

MD5, pratik amaçlar için ön direnç direncini sürdürürken (hash verildiğinde, mesajı almak zordur), kimlik doğrulama için kullanıldığında büyük bir kusuru vardır: çabukluğu.

Kısa parolalar, bir gökkuşağı tablosu (birçok ortak parola ve ilgili karmaları içeren bir liste) veya basit bir kaba kuvvet saldırısı (tüm olası parolaları deneyerek) kullanarak kolayca keşfedilebilir. Modern masaüstü bilgisayarlar bu konuda çok iyi. Paralel olarak birden çok şifre denemek için GPU'nuzu kullanan ticari programlar, saniyede milyarlarca şifre deneyebilir.

Bu sorun yeterince uzun ve / veya yeterince karmaşık bir şifre seçerek kolayca çözülebilir. Daha yavaş algoritmalar daha zayıf şifrelerle aynı güvenlik seviyesine ulaşabilir.

Ayrıca, saldırganın içeriğini okumak için gölge ayrıcalıklarına veya sabit sürücüye fiziksel erişime ihtiyacı vardır. /etc/shadow (karma değerinin depolandığı yer). Bu, karma okuyabilen birinin bilgisayarınıza erişmek için şifrenizi kırmasına gerek olmadığı anlamına gelir. Eğer şifrenizi sadece o bilgisayarda kullanıyorsanız, endişelenecek bir şey yok.

Dennis
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.