Je voulais changer mon mot de passe sur une machine Unix. J'ai fait un "passwd" normal et j'ai tapé mon ancien et mon nouveau mot de passe.
Puis la machine m'est revenue avec le message suivant:
BAD PASSWORD: is too similar to the old one
Cela m'a fait réfléchir ... Est-ce que cela signifie que la machine a mon mot de passe en texte clair quelque part? Sinon, il ne devrait pas pouvoir comparer l'ancien et le nouveau mot de passe, non? Ou existe-t-il une fonction de hachage qui permet cela?
OK, j'ai donc suivi la suggestion de Michael Hampton et je suis allé voir le code de pam_cracklib.c et il semble que pam_cracklib obtient l'ancien mot de passe (aka actuel) du PAM via un appel de fonction (que je juge totalement ok, car Je viens de saisir ce mot de passe actuel pour m'authentifier), puis effectue une analyse de similitude (fonction de distance) entre cet ancien mot de passe et le nouveau que je viens d'entrer.
Mais il ne fait pas cette analyse pour tous les anciens mots de passe de son histoire. Ce ne serait pas possible, car ils ne sont stockés que sous forme de hachage. Pour eux, il ne peut y avoir de contrôle que s'ils sont identiques. Donc, tout semble être en ordre, comme je m'y attendais, mais maintenant je comprends pourquoi c'est ... merci à tous.
Vos anciens mots de passe ne sont pas stockés en texte brut.
Au lieu de cela, vos anciens hachages de mot de passe sont stockés /etc/security/opasswdpar PAM. Il effectue ensuite la comparaison lorsque vous allez modifier votre mot de passe, en fonction de ce qui a été spécifié dans la configuration PAM.
Un exemple de configuration PAM:
password required pam_unix.so sha512 remember=12 use_authtok
Ici, rememberil se souvient de 12 mots de passe précédents.
Pour plus de détails, voir Linux Password Security avec pam_cracklib .
Certains systèmes peuvent stocker / calculer l'entropie (complexité des mots de passe) et les comparer, je ne sais pas si c'est le cas de PAM.
la source