定期使用随机生成的盐生成更安全的密码?

定期使用随机生成的盐生成更安全的密码?

有没有办法使 ie 的密码更加安全。使用预定的 Bash 脚本来更改 ie 用户密码的随机生成的盐。每月两次,没有常规和普通服务器用户对此一无所知,或者它对用户行为没有影响,或者他不需要自己使用密码进行任何操作?

早期论坛主题的参考链接,其中版主告诉我在我的评论被删除后提出新问题,位于 如何创建加密密码

答案1

欢迎来到 Unix 和 Linux StackExchange!

这个想法的问题在于密码哈希值是不可逆:不是“解密”散列密码并将其与登录时的用户输入进行比较,而是使用与存储的密码散列相同的盐对用户输入的密码进行散列,然后将结果与存储的散列进行比较。如果它们匹配,则假定用户输入了有效密码并且接受登录。

(是的,理论上两个密码输入可能会产生相同的哈希值,但那就是极其不太可能。)

为了能够在不涉及用户的情况下使用新盐重新散列所有密码,您必须存储每个人当前密码的明文(或可逆加密,因此明文等效)版本。这正是密码散列方案设计首先要避免的事情。

使用新盐重新散列现有密码甚至不是很有用:如果邪恶的人在重新散列之前设法获得了密码散列的副本,他们可以在闲暇时使用旧盐对散列进行暴力破解,然后使用新盐在您的系统中使用任何发现的密码,因为系统在登录时请求的实际密码仍然是相同的。

在密码存储中使用加盐哈希的目的有两个:

1.) 它可以防止管理员查看哈希值时无意中注意到两个用户具有相同的实际密码,

2.) 如果带有密码哈希值的文件落入恶意手中,系统管理员就有时间注意到泄漏,并让用户在恶意登录发生之前更改密码。 (好的密码实际上可能能够抵抗字典攻击,但要保证这一点,需要在设置或更改密码时实施密码质量检查。)

请注意,在现代系统中,密码哈希值存储在/etc/shadow普通用户无法读取的位置。因此,如果哈希值落入恶意者之手,则意味着您的系统安全性已经受到相当严重的损害 - 而且您遇到的问题比担心用户抱怨需要更改密码还要大!

相关内容