Usando UUIDs para senhas

Navegue suas respostas
4

Alguém tem uma opinião sobre o uso de UUIDs como senhas? Isso é destinado a contas criadas para usuários externos, como o acesso de clientes a pastas SFTP privadas. Ou as pessoas estão usando a chave pública? Esses usuários não têm um shell e são chroot para seu diretório.

A partir do manpage:

UUIDs are 128 bit numbers which are intended to have a high likelihood of uniqueness over space and time and are computationally difficult to guess. They are globally unique identifiers which can be locally generated without contacting a global registration authority. UUIDs are intended as unique identifiers for both mass tagging objects with an extremely short lifetime and to reliably identifying very persistent objects across a network.

Estou no Ubuntu 9.10, mas o pacote OSSP uuid está disponível para a maioria das distribuições * nix.

    
por Cawflands 16.12.2009 / 11:23

3 respostas

7

Existem muitas maneiras de gerar um UUID, algumas das quais provavelmente são altamente adivinhadas. Por exemplo, a hora atual é muitas vezes um componente e está bem ali, assim como o endereço MAC da máquina, etc. Não confunda o que é único com o unguessável.

Eu não tentaria reutilizar UUIDs para senhas, mas escolheria um gerador de senha strong. Se você está pensando em usar um UUID como senha, ser capaz de lembrar claramente não é importante, então eu escolheria algo como a saída do MD5 com alguns bytes de / dev / random ou / dev / urandom: 

dd if=/dev/random bs=128 count=1 | md5

Ou, melhor ainda, use uma ferramenta projetada especificamente para gerar senhas strongs. Idealmente, os usuários podem se lembrar sem anotá-los.

    
por 16.12.2009 / 12:03
5

Quanto maior o nível de complexidade da senha, maior a chance de o usuário anotá-la em um post e anotá-la no monitor, ou seja, o custo de suporte quando o usuário esquece a senha.

Ao usar chaves SSH, é recomendado algum tipo de senha (mas não obrigatório) para proteger a chave. As frases secretas são mais fáceis de lembrar do que as senhas para algo como:

  • Firefox & é & JUST & um & navegador
  • NotTheFirstHackI'dTry
  • A raposa marrom rápida

Ambos reduzirão a incidência de chamadas para redefinir senhas esquecidas e melhorarão a segurança, pois os usuários conseguirão lembrá-las sem anotá-las.

    
por 16.12.2009 / 12:06
0

Eu acho que, em teoria, usando UUIDs aleatórios para senhas de máquina, chaves de API e tal é uma boa idéia. Mas eles precisam ser escritos ou copiados / colados. Eles não são ótimos quando as pessoas têm que digitá-los. (Mas você disse que eles serão salvos)

O comando uuid do OSSP, por padrão, gera um UUID da versão 1. Isso é baseado no endereço MAC da máquina atual e na hora atual. Então, não tão seguro quanto parece.

Se você executar uuid -n 10 , que gera 10 UUIDs, verá muitos caracteres iguais.

Se você uuid -v4 , isso lhe dará um UUID aleatório. Melhor que o padrão.

Eu dei uma olhada na fonte do OSSP UUID e não consigo decidir se a aleatoriedade é boa ou não. A fonte não foi atualizada por 10 anos, e tem havido muita pesquisa e pontos de vista sobre como fazer números aleatórios criptográficos desde então. Provavelmente é ok.

Minha maneira favorita de obter um uuid aleatório em uma máquina linux é cat /proc/sys/kernel/random/uuid

Para os verdadeiramente paranoicos, você também pode querer considerar quantos dados aleatórios estão disponíveis na máquina que você está usando. cat /proc/sys/kernel/random/entropy_avail Você está procurando por um grande número, como mais de 1000. Se você estiver em uma máquina virtual, não fazendo muito, você pode ter dificuldades.

    
por 02.10.2018 / 13:03

Tags

É possível obter o nome de usuário real dentro de um script que foi chamado usando o sudo? Certificados do Exchange não correspondem