लिनक्स कैसे जानता है कि नया पासवर्ड पिछले एक जैसा है?

कुछ बार मैंने विभिन्न लिनक्स मशीनों पर एक उपयोगकर्ता पासवर्ड बदलने की कोशिश की और जब नया पासवर्ड पुराने के समान था, तो ओएस ने शिकायत की कि वे बहुत समान थे।

मैं हमेशा सोचता था, सिस्टम को यह कैसे पता है? मुझे लगा कि पासवर्ड हैश के रूप में सहेजा गया है। क्या इसका मतलब यह है कि जब सिस्टम समानता के लिए नए पासवर्ड की तुलना करने में सक्षम होता है तो पुराने को वास्तव में सादे पाठ के रूप में सहेजा जाता है?

चूंकि आपको उपयोग करते समय पुराने और नए दोनों पासवर्ड की आपूर्ति करने की आवश्यकता होती है passwd, उन्हें आसानी से प्लेटेक्स्ट की तुलना में, मेमोरी में, ड्राइव पर कहीं भी लिखे बिना आसानी से किया जा सकता है।

जब आपका पासवर्ड अंतिम रूप से संग्रहित हो जाता है, तो उसे हैशड किया जाता है, लेकिन जब तक ऐसा नहीं होता, तब तक जहां आप अपना पासवर्ड दर्ज कर रहे हैं, वह निश्चित रूप से इसे सीधे एक्सेस कर सकता है जैसे कि कोई अन्य प्रोग्राम आपके कीबोर्ड पर दर्ज की गई चीजों को एक्सेस कर सकता है, जबकि यह एसटीडीआईएन से पढ़ रहा था।

यह PAM सिस्टम की एक विशेषता है जिसका उपयोग passwdटूल की पृष्ठभूमि में किया जाता है । PAM का उपयोग आधुनिक लिनक्स वितरण द्वारा किया जाता है।

अधिक विशेष रूप से, pam_cracklibपीएएम के लिए एक मॉड्यूल है जो पासवर्ड को कई कमजोरियों के आधार पर अस्वीकार करने की अनुमति देता है जो उन्हें बहुत कमजोर बना देगा।

यह केवल पासवर्ड नहीं है जो बहुत समान हैं जिन्हें असुरक्षित माना जा सकता है। स्रोत कोड क्या जाँच की जा सकती के विभिन्न उदाहरण है, जैसे कि क्या एक पासवर्ड विलोमपद या क्या संपादित दूरी दो शब्दों के बीच है है। यह विचार शब्दकोश के हमलों के खिलाफ पासवर्ड को अधिक प्रतिरोधी बनाने के लिए है।

यह भी देखें मैनपेज।pam_cracklib

कम से कम मेरे उबंटू में, "बहुत समान" संदेश समाप्त हो जाते हैं जब: "... आधे से अधिक वर्ण अलग हैं ...." (विवरण के लिए नीचे देखें)। PAM समर्थन के लिए धन्यवाद, जैसा कि @slhck उत्तर में स्पष्ट रूप से समझाया गया है।

अन्य प्लेटफ़ॉर्म के लिए, जहाँ PAM का उपयोग नहीं किया जाता है, "बहुत समान" संदेश तब सामने आते हैं जब: "... आधे से अधिक वर्ण भिन्न होते हैं ...." (विवरण के लिए नीचे देखें)

अपने आप ही इस कथन को जाँचने के लिए, स्रोत-कोड की जाँच करना संभव है। यहां कैसे।

"पासवार्ड" प्रोग्राम को पासवार्ड पैकेज में शामिल किया गया है:

verzulli@iMac:~$ which passwd
/usr/bin/passwd
verzulli@iMac:~$ dpkg -S /usr/bin/passwd
passwd: /usr/bin/passwd

जैसा कि हम ओपन सोर्स तकनीकों के साथ काम कर रहे हैं, हमारे पास स्रोत कोड के लिए अप्रतिबंधित पहुंच है। इसे प्राप्त करना उतना ही सरल है:

verzulli@iMac:/usr/local/src/passwd$ apt-get source passwd

बाद में कोड के प्रासंगिक टुकड़े को ढूंढना आसान है:

verzulli@iMac:/usr/local/src/passwd$ grep -i -r 'too similar' .
[...]
./shadow-4.1.5.1/NEWS:- new password is not "too similar" if it is long enough
./shadow-4.1.5.1/libmisc/obscure.c:     msg = _("too similar");

"Obscure.c" की एक त्वरित जांच यह बताती है (मैं केवल कोड का प्रासंगिक टुकड़ा काट रहा हूं और चिपका रहा हूं):

static const char *password_check (
    const char *old,
    const char *new,
    const struct passwd *pwdp)
{
    const char *msg = NULL;
    char *oldmono, *newmono, *wrapped;

    if (strcmp (new, old) == 0) {
            return _("no change");
    }
    [...]
    if (palindrome (oldmono, newmono)) {
            msg = _("a palindrome");
    } else if (strcmp (oldmono, newmono) == 0) {
            msg = _("case changes only");
    } else if (similar (oldmono, newmono)) {
            msg = _("too similar");
    } else if (simple (old, new)) {
            msg = _("too simple");
    } else if (strstr (wrapped, newmono) != NULL) {
            msg = _("rotated");
    } else {
    }
    [...]
    return msg;
}

तो, अब, हम जानते हैं कि एक "समान" फ़ंक्शन है जो पुराने-एक और नए-एक चेक के आधार पर है यदि दोनों समान हैं। यहाँ स्निपेट है:

/*
 * more than half of the characters are different ones.
 */
static bool similar (const char *old, const char *new)
{
    int i, j;

    /*
     * XXX - sometimes this fails when changing from a simple password
     * to a really long one (MD5).  For now, I just return success if
     * the new password is long enough.  Please feel free to suggest
     * something better...  --marekm
     */
    if (strlen (new) >= 8) {
            return false;
    }

    for (i = j = 0; ('\0' != new[i]) && ('\0' != old[i]); i++) {
            if (strchr (new, old[i]) != NULL) {
                    j++;
            }
    }

    if (i >= j * 2) {
            return false;
    }

    return true;
}

मैंने C कोड की समीक्षा नहीं की है। मैंने फ़ंक्शन परिभाषा से ठीक पहले टिप्पणी पर भरोसा करने में खुद को सीमित कर दिया है :-)

पीएएम और एनओएन-पीएएम जागरूक प्लेटफार्मों के बीच का अंतर "अस्पष्ट सी" फाइल में परिभाषित किया गया है जो कि संरचित है:

#include <config.h>
#ifndef USE_PAM
[...lots of things, including all the above...]
#else                           /* !USE_PAM */
extern int errno;               /* warning: ANSI C forbids an empty source file */
#endif                          /* !USE_PAM */

आपके विचार से इसका उत्तर बहुत सरल है। वास्तव में, यह जादू के रूप में लगभग योग्य है, क्योंकि एक बार जब आप चाल की व्याख्या करते हैं, तो यह हो गया है:

$ passwd
Current Password:
New Password:
Repeat New Password:

Password changed successfully

यह जानता है कि आपका नया पासवर्ड समान है ... क्योंकि आपने पुराने को केवल एक क्षण पहले टाइप किया था।

हालांकि अन्य उत्तर सही हैं, यह उल्लेख के लायक है कि आपको काम करने के लिए पुराने पासवर्ड की आपूर्ति करने की आवश्यकता नहीं है!

वास्तव में, कोई भी आपके द्वारा दिए गए नए पासवर्ड के समान पासवर्ड का एक समूह उत्पन्न कर सकता है, उन्हें हैश करें, और फिर जांचें कि क्या इनमें से कोई भी हैश पुराने से मेल खाता है। यदि यह मामला है, तो नया पासवर्ड पुराने के समान है! :)

एक पहलू को कवर नहीं किया गया था: पासवर्ड इतिहास। कुछ सिस्टम इसका समर्थन करते हैं। ऐसा करने के लिए, यह पासवर्डों का इतिहास रखता है और वर्तमान पासवर्ड के साथ उन्हें एन्क्रिप्ट करता है। जब आप अपना पासवर्ड बदलते हैं तो यह सूची को डिक्रिप्ट करने और सत्यापित करने के लिए "पुराने" पासवर्ड का उपयोग करता है। और जब यह एक नया पासवर्ड सेट करता है, तो यह नए पासवर्ड से प्राप्त की के साथ एन्क्रिप्ट की गई सूची (फिर से) को सेव करता है।

यह remember=NPAM (संग्रहीत /etc/security/opasswd) में कैसे काम करता है । लेकिन विंडोज और अन्य यूनिक्स विक्रेता भी इसी तरह के कार्य करते हैं।