Root et mon mot de passe sont les mêmes

8

Si je cat /etc/shadowpeux obtenir les mots de passe cryptés de root et de mon utilisateur.

Ces mots de passe sont les mêmes (je sais, une mauvaise sécurité) pour chaque compte, mais /etc/shadowils apparaissent comme étant des chaînes cryptées différentes.

Pourquoi? Des algorithmes différents sont-ils utilisés pour chacun?

password shadow user75027
la source
Je recommanderais de lire ceci comme un bon point de départ. La réponse courte est que les hachages sont salés et qu'un hachage sans sel n'est pas du tout du hachage.
Boris the Spider

Réponses:

10

Des utilisateurs séparés signifient un ID utilisateur distinct, et donc des hachages séparés seront impliqués avec l'algorithme.

Même un utilisateur avec le même nom, le même mot de passe et créé en même temps (avec une probabilité presque certaine) se retrouvera avec un hachage différent. Il existe d'autres facteurs qui aident à créer le cryptage.

Si vous voulez regarder un exemple rapide ici, il peut mieux l'expliquer.

Pas le temps
la source
17
Juste pour mentionner le mot ici: ça s'appelle saler le hachage.
Ulrich Schwarz
1
Des utilisateurs séparés ne signifient pas nécessairement des ID utilisateur distincts. Les identifiants utilisateur n'ont aucune incidence sur cela. La clé primaire /etc/passwd, /etc/shadowest le nom d'utilisateur, et non ID utilisateur (qui est même pas mentionné dans /etc/shadow).
Stéphane Chazelas
L'explication ne répond pas tout à fait à la question. Qu'est-ce que l'ID utilisateur a à voir avec cela? De plus, l'URL ne fait pas vraiment la lumière sur la réponse à la question.
contre-mode
@ StéphaneChazelas Non, des utilisateurs distincts signifient des ID utilisateur distincts. Il peut y avoir plusieurs entrées dans la ou les bases de données utilisateur avec des noms d'utilisateur différents pour le même ID utilisateur, mais ce sont tous le même utilisateur, partageant tous les contextes de sécurité (propriété du fichier, signaux, etc.) et ne différant que par les méthodes de connexion ( par exemple des mots de passe différents et des shells différents mais menant au même compte).
Gilles 'SO- arrête d'être méchant'
@ Gilles, je ne suis pas d'accord. Vous pouvez avoir différents utilisateurs avec le même uid mais différents gid et gids supplémentaires (voir comment les membres dans / etc / group sont référencés par leur nom, pas uid), différents paramètres de connexion ... C'est de moins en moins courant, surtout si l'on considère que les choses comme sudo ne fonctionne pas bien avec ça.
Stéphane Chazelas
2

L'algorithme est le même. Les suites d'ombres modernes utilisent des modules d'authentification enfichables (PAM) et PAM vous permet de configurer un algorithme de hachage. Il s'agit de "salage", ce qui signifie randomiser le mot de passe pour donner l'effet même que vous demandez.

Le salage est une contre-mesure aux attaques par dictionnaire, où un attaquant possédant un dictionnaire de paires mot de passe / hachage connu tente de savoir si la valeur de hachage donnée pour un mot de passe inconnu correspond à la valeur de hachage pour l'un des mots de passe connus.

Le salage empêche cela car une valeur de sel différente conduit à une valeur de hachage différente, donc peu importe que le mot de passe soit égal. (C'est néanmoins une mauvaise pratique, mais pour d'autres raisons.) Pour que l'attaque par dictionnaire réussisse, l'attaquant doit maintenant avoir des dictionnaires pour chaque valeur de sel possible. Un sel vraiment aléatoire de taille suffisante rendra la probabilité de succès d'une telle attaque négligeable.

Lecture suggérée: comment les mots de passe sont-ils stockés sous Linux (comprendre le hachage avec les utilitaires shadow)

contre-mode
la source
0

Dans le fichier shadow, vous verrez un nombre entre $$ (disons $ 1 $ ou quelque chose comme ça). Il indique quel algorithme de hachage est utilisé par votre machine. Identifiez l'algorithme et voyez comment il fonctionne. Par exemple, $ 6 $ est SHA 512 qui est conçu de telle manière que, même si 2 personnes ont le même mot de passe, le condensé de hachage de leur mot de passe sera différent.

RNJ
la source