Sei que uma maneira é impor regras às senhas, usar pelo menos uma letra maiúscula, minúscula, numérica, caractere especial e garantir que o comprimento da senha seja pelo menos 8 caracteres, etc ...
Existe uma maneira adicional de descobrir senhas fracas após elas terem sido geradas? Eu ouvi falar de "John the ripper". Alguém aplicou com sucesso isso?
Para RedHat, consulte Protegendo e fortalecendo os sistemas de produção Red Hat Linux e especialmente a seção Enforçando senhas mais strongs .
Para ver um artigo mais geral, consulte Acesso remoto endurecimento e senha strong Enforcement , a seção" Como fazer valer política de senha strong ".
Isso usa pam_cracklib , cuja implantação é descrita em Linux Password Security com pam_cracklib entre muitas outras fontes.
As senhas são (se a implementação for boa) armazenadas como um código hash no seu sistema. Além disso, eles devem ser salgados para esconder senhas fracas (no caso de alguém conseguir controlar o banco de dados). Você pode ler sobre sal e armazenamento de senhas aqui: link
Se você ler o artigo que você vai entender, que feito certo a senha em si nunca será armazenada. O que é armazenado é o código hash da senha + sal e o próprio sal. O que você poderia fazer para testar seu sistema em busca de senhas fracas é a mesma coisa que os hackers fazem: usando força bruta. Em seu caso especial, você poderia (se um sal é usado para todas as senhas) usar uma tabela com senhas + sal e o código hash gerado. Isso diminuirá o tempo de computação rapidamente, pois você só terá que comparar os códigos de hash (Isso só será verdadeiro se você usar o banco de dados mais de uma vez). Mas, novamente, isso só é possível se a implementação não for a melhor solução possível.
Se não proibiu senhas fracas e deseja que seus usuários usem senhas strongs, a maneira mais fácil (apenas) de conseguir isso é forçar os usuários na geração de senha ou verificar sua senha no login, contanto que a senha ainda esteja armazenada. claro na memória. Assim, você só pode facilmente verificar senhas strongs para usuários "usando" o computador. Se você quiser verificar as senhas de todos os usuários, sua opção é a força bruta.
Se você não fez isso no passado, a solução seria redefinir TODAS as senhas com senhas strongs geradas aleatoriamente e entregá-las aos seus usuários. No próximo login você pode forçar seus usuários a usar senhas strongs.
John the Ripper é um ataque de força bruta. Tem um dicionário massivo e códigos hash armazenados e, em seguida, executa isso contra suas senhas. Você sempre pode executar isso, mas deve ser um desperdício de tempo de CPU, pois você deve impor senhas strongs.
Existem milhares de serviços online que geram senhas seguras e serviços que verificam a força atual da senha em um clique (ou até mesmo sem cliques :)). Pessoalmente, gosto de GetSecurePassword , pois combina os dois recursos.
João, o Estripador é outra ferramenta para usar para isso. Na verdade, tenta quebrar sua senha com base em muitos métodos diferentes. O importante com o JTR é o tempo de execução - quanto mais demorado, mais segura é a senha.
A maneira como você a usa é detalhada aqui (evitei vincular à documentatoin do projeto - é muito esparso)
cp /etc/shadow shadow
john -user:luser shadow
é o método mais rápido para colocá-lo em prática.
Tags linux user-accounts passwords