我真的不擅长记住长密码(但我可以很好地记住短随机密码),这就是为什么我更喜欢能够使用相对较短的密码,但我担心这些会降低我的系统的安全性。
为了提高短密码的安全性,sudo我想增加失败尝试之间的延迟。
您认为在 pam 中设置 sudo 相对于密码长度的延迟的良好指南是什么?
您认为这种方法有问题/不安全吗?或者您认为它可能在哪里失败。
如果有问题,有什么更好的选择来努力记住长密码。
(手中的计算机不是服务器,不允许使用 ssh/rdx 等进行任何类型的远程访问,我将其用作我的个人桌面)
答案1
我没有仔细检查实现(*),但如果通过设置的延迟pam_faildelay实现为简单的睡眠,它将导致单次登录尝试花费更长的时间(从而烦扰用户),但会不是本身就限制了数字同时登录尝试的次数。
这在一定程度上抵消了延迟的意图,因为试图暴力破解您的密码的人可能会同时打开数百或数千个登录尝试。大多数情况下,他们会花时间睡觉,因此系统上的负载可能并不明显。
你需要做的是限制速度登录尝试的次数,而不是单次尝试的持续时间。对于网络服务,我建议在网络端限制它(比如在iptablesLinux 上),但我没有为 PAM 提供解决方案。
(政策方面,密码长度和时间限制,可能更适合安全性.)
(*因为我没有时间。延迟好像是通过PAM设置的,可能会去应用程序去实现。但是不太可能实现为繁忙循环,以及任何实现速率限制的程序)