Я хотів змінити свій пароль на машині Unix. Я зробив звичайний "passwd" і набрав свій старий і новий пароль.
Потім машина повернулася до мене з таким повідомленням:
BAD PASSWORD: is too similar to the old one
Це змусило мене задуматися ... Це означає, що машина десь має чіткий текст у моєму паролі? Інакше він не повинен мати можливість порівнювати старий і новий пароль, правда? Або є хеш-функція, яка дозволяє це?
Відповіді:
Гаразд, тому я пішов на пропозицію Майкла Гемптона і пішов і подивився на код pam_cracklib.c, і здається, що пам_кракліб отримує старий (інакше поточний) пароль з PAM через виклик функції (що я вважаю абсолютно нормальним, як Я щойно ввів цей поточний пароль для автентифікації), а потім виконує аналіз подібності (функцію відстані) між тим старим паролем та новим, який я щойно ввів.
Але це не робить цей аналіз для всіх старих паролів в його історії. Це було б неможливо, оскільки вони зберігаються лише як хеші. Для них може бути перевірка лише в тому випадку, якщо вони однакові. Тож, здається, все в порядку, як я очікував, але зараз я розумію, чому так ... дякую всім.
Ваші старі паролі не зберігаються у простому тексті.
Натомість ваші старі хеші паролів зберігаються в /etc/security/opasswdPAM. Потім він проводить порівняння, коли ви переходите до зміни свого пароля, виходячи з того, що було визначено в конфігурації PAM.
Приклад конфігурації PAM:
password required pam_unix.so sha512 remember=12 use_authtok
Тут rememberвін змушує запам'ятати 12 попередніх паролів.
Детальнішу інформацію див. У розділі Безпека пароля Linux із пам’яткою pam_cracklib .