Linux, yeni parolanın öncekine benzer olduğunu nereden biliyor?

Birkaç kez çeşitli Linux makinelerde bir kullanıcı şifresini değiştirmeye çalıştım ve yeni şifre eskisine benziyorsa, işletim sistemi çok benzer olduklarından şikayet etti.

Hep merak etmişimdir, sistem bunu nasıl biliyor? Şifrenin bir karma olarak kaydedildiğini düşündüm. Bu, sistem yeni şifreyi benzerlikle karşılaştırabildiğinde eski şifrenin aslında düz metin olarak kaydedildiği anlamına mı geliyor?

Kullanırken hem eski hem de yeni şifreyi girmeniz gerektiğinden passwd, düz metin olarak, bellekte, sürücüye bir yere yazmadan kolayca karşılaştırılabilirler.

Aslında şifreniz sonunda depolandığında şifrelenir, ancak bu gerçekleşene kadar, şifrenizi girdiğiniz araç elbette doğrudan erişebilir, başka bir program STDIN'den okurken klavyenizde girdiğiniz öğelere erişebilir.

Bu, aracın arka planda kullanılan PAM sisteminin bir özelliğidir passwd. PAM, modern Linux dağıtımları tarafından kullanılır.

Daha spesifik olarak, pam_cracklibPAM için, onları çok savunmasız bırakacak çeşitli zayıflıklara dayanarak şifreleri reddetmeye izin veren bir modüldür.

Güvensiz olarak kabul edilebilecek yalnızca benzer şifreler değil. Kaynak kodu bir şifre bir palindrom ya da ne düzenlemek mesafesi iki kelime arasında olup olmadığı örneğin kontrol edilebilir ne çeşitli örnekler vardır. Fikir, sözlük saldırılarına karşı şifreleri daha dayanıklı hale getirmektir.

Ayrıca bkz manpage.pam_cracklib

En azından Ubuntu'mda "çok benzer" mesajlar çıktı ne zaman: "... karakterlerin yarısından fazlası farklı olanlar ...." (ayrıntılar için aşağıya bakın). PAM desteği sayesinde, slhck cevabında açıkça belirtildiği gibi.

PAM'ın kullanılmadığı diğer platformlarda, "çok benzer" mesajlar şu durumlarda ortaya çıkar: "... karakterlerin yarısından fazlası farklı olanlar ..." (ayrıntılar için aşağıya bakın)

Bu açıklamayı kendi başınıza kontrol etmek için kaynak kodunu kontrol etmek mümkündür. İşte nasıl.

"Passwd" programı passwd paketine dahil edilmiştir:

verzulli@iMac:~$ which passwd
/usr/bin/passwd
verzulli@iMac:~$ dpkg -S /usr/bin/passwd
passwd: /usr/bin/passwd

Açık Kaynak teknolojileriyle uğraşırken, kaynak koduna sınırsız erişimimiz var. Bunu almak, basittir:

verzulli@iMac:/usr/local/src/passwd$ apt-get source passwd

Daha sonra ilgili kod parçasını bulmak kolaydır:

verzulli@iMac:/usr/local/src/passwd$ grep -i -r 'too similar' .
[...]
./shadow-4.1.5.1/NEWS:- new password is not "too similar" if it is long enough
./shadow-4.1.5.1/libmisc/obscure.c:     msg = _("too similar");

"Obscure.c" nin hızlıca kontrol edilmesi şunu verir: (sadece ilgili kod parçasını kesip yapıyorum):

static const char *password_check (
    const char *old,
    const char *new,
    const struct passwd *pwdp)
{
    const char *msg = NULL;
    char *oldmono, *newmono, *wrapped;

    if (strcmp (new, old) == 0) {
            return _("no change");
    }
    [...]
    if (palindrome (oldmono, newmono)) {
            msg = _("a palindrome");
    } else if (strcmp (oldmono, newmono) == 0) {
            msg = _("case changes only");
    } else if (similar (oldmono, newmono)) {
            msg = _("too similar");
    } else if (simple (old, new)) {
            msg = _("too simple");
    } else if (strstr (wrapped, newmono) != NULL) {
            msg = _("rotated");
    } else {
    }
    [...]
    return msg;
}

Öyleyse, şimdi, her ikisinin de benzer olup olmadığına bakılmaksızın eskiye ve yenisine dayanan "benzer" bir işlev olduğunu biliyoruz. İşte pasajı:

/*
 * more than half of the characters are different ones.
 */
static bool similar (const char *old, const char *new)
{
    int i, j;

    /*
     * XXX - sometimes this fails when changing from a simple password
     * to a really long one (MD5).  For now, I just return success if
     * the new password is long enough.  Please feel free to suggest
     * something better...  --marekm
     */
    if (strlen (new) >= 8) {
            return false;
    }

    for (i = j = 0; ('\0' != new[i]) && ('\0' != old[i]); i++) {
            if (strchr (new, old[i]) != NULL) {
                    j++;
            }
    }

    if (i >= j * 2) {
            return false;
    }

    return true;
}

C kodunu incelemedim. Fonksiyon tanımından hemen önce açıklamaya güvenmem konusunda kendimi sınırladım :-)

PAM ve NAM-PAM bilinmeyen platformlar arasındaki fark, aşağıdaki gibi yapılandırılmış olan "obscure.c" dosyasında tanımlanmıştır:

#include <config.h>
#ifndef USE_PAM
[...lots of things, including all the above...]
#else                           /* !USE_PAM */
extern int errno;               /* warning: ANSI C forbids an empty source file */
#endif                          /* !USE_PAM */

Cevap sandığınızdan çok daha basit. Aslında, neredeyse sihir olarak nitelendirilir, çünkü bir kez hileyi açıklarsanız, gider:

$ passwd
Current Password:
New Password:
Repeat New Password:

Password changed successfully

Yeni şifrenizin benzer olduğunu biliyor ... Çünkü eski şifreyi biraz önce yazdınız.

Diğer cevaplar doğru olsa da, bunun çalışması için eski şifreyi girmeniz gerekmediğinden bahsetmeye değer olabilir!

Aslında, sağladığınız yeni şifreye benzer bir grup şifre oluşturabilir, şifrelerini değiştirebilir ve ardından bu karma değerlerden herhangi birinin eskisine uygun olup olmadığını kontrol edebilirsiniz. Bu durumda, yeni şifre eskisine benzer şekilde değerlendirilir! :)

Bir yönü ele alınmadı: şifre geçmişi. Bazı sistemler bunu destekliyor. Bunu yapmak için, parolaların geçmişini tutar ve bunları geçerli parola ile şifreler. Şifrenizi değiştirdiğinizde, listenin şifresini çözmek ve doğrulamak için "eski" şifreyi kullanır. Ve yeni bir şifre belirlediğinde, yeni şifreden türetilen bir anahtarla şifrelenmiş listeyi (tekrar) kaydeder.

remember=NPAM'de böyle çalışır (saklanır /etc/security/opasswd). Ancak, Windows ve diğer Unix satıcıları da benzer işlevler sunar.