Passwortähnlichkeit

Ich wollte mein Passwort auf einem Unix-Computer ändern. Ich habe ein normales "passwd" gemacht und mein altes und mein neues Passwort eingegeben.

Dann kam die Maschine mit der folgenden Nachricht zu mir zurück:

BAD PASSWORD: is too similar to the old one

Das hat mich zum Nachdenken gebracht ... Bedeutet das, dass die Maschine irgendwo mein Passwort im Klartext hat? Andernfalls sollte es nicht möglich sein, das alte und das neue Passwort zu vergleichen, oder? Oder gibt es eine Hash-Funktion, die das ermöglicht?

OK, also folgte ich dem Vorschlag von Michael Hampton und schaute mir den Code von pam_cracklib.c an. Es scheint, als würde pam_cracklib das alte (auch als aktuell bekannte) Passwort von der PAM über einen Funktionsaufruf erhalten (was ich für völlig in Ordnung halte Ich habe gerade das aktuelle Passwort zur Authentifizierung eingegeben und dann eine Ähnlichkeitsanalyse (Distanzfunktion) zwischen diesem alten und dem neuen Passwort durchgeführt, das ich gerade eingegeben habe.

Diese Analyse wird jedoch nicht für alle alten Kennwörter in der Historie durchgeführt. Das wäre nicht möglich, da sie nur als Hashes gespeichert werden. Für sie kann nur geprüft werden, ob sie gleich sind. Also scheint alles in Ordnung zu sein, genau wie ich es erwartet hatte, aber jetzt verstehe ich, warum es so ist ... danke an alle.

Ihre alten Passwörter werden nicht im Klartext gespeichert.

Stattdessen werden Ihre alten Passwort- Hashes/etc/security/opasswd von PAM gespeichert . Der Vergleich wird dann durchgeführt, wenn Sie Ihr Kennwort ändern, basierend auf den Angaben in der PAM-Konfiguration.

Ein Beispiel für eine PAM-Konfiguration:

password required pam_unix.so sha512 remember=12 use_authtok

Hier werden remember12 vorherige Passwörter gespeichert.

Weitere Informationen finden Sie unter Linux-Kennwortsicherheit mit pam_cracklib .

Einige Systeme können Entropie (Passwortkomplexität) speichern / berechnen und vergleichen. Ich weiß nicht, ob es sich um PAM handelt.