Sei que uma maneira é impor regras às senhas, usar pelo menos uma letra maiúscula, minúscula, número, caractere especial e garantir que o tamanho da senha seja pelo menos 8 caracteres, etc ...
Existe uma maneira adicional de descobrir senhas fracas após elas terem sido geradas? Eu ouvi falar de "John the ripper". Alguém aplicou com sucesso isso?
linux
passwords
user-accounts
math
fonte
fonte
Respostas:
Para RedHat, veja Protegendo e Protegendo Sistemas de Produção Red Hat Linux e especialmente a seção Impondo Senhas Fortes .
Para um artigo mais geral, veja em Endurecimento de acesso remoto e forte aplicação de senha , a seção "Reforçando a Política de Senha Forte".
Isso usa pam_cracklib , cuja implantação é descrita em Segurança de Senha do Linux com o pam_cracklib entre muitas outras fontes.
fonte
As senhas são (se a implementação for boa) armazenadas como um código hash em seu sistema. Além disso, eles devem ser salgados para esconder senhas fracas (no caso de alguém entender o banco de dados). Você pode ler sobre sal e armazenamento de senha aqui: http://en.wikipedia.org/wiki/Salt_%28cryptography%29
Se você ler o artigo que você vai entender, que feito certo a senha em si nunca será armazenada. O que é armazenado é o código hash da senha + sal e o próprio sal. O que você poderia fazer para testar seu sistema em busca de senhas fracas é a mesma coisa que os hackers fazem: usando força bruta. Em seu caso especial, você poderia (se um sal é usado para todas as senhas) usar uma tabela com senhas + sal e o código hash gerado. Isso diminuirá o tempo de computação rapidamente, já que você só terá que comparar os códigos hash (Isso só será verdadeiro se você usar o banco de dados mais de uma vez). Mas, novamente, isso só é possível se a implementação não for a melhor solução possível.
Se não tiver proibido senhas fracas e você quiser que seus usuários usem senhas fortes, a maneira mais fácil (apenas) de conseguir isso é forçar os usuários na geração de senha ou verificar sua senha no login, contanto que a senha ainda esteja armazenada limpa na memória. . Assim, você só pode verificar facilmente senhas fortes para usuários "usando" o computador. Se você quiser verificar as senhas de todos os usuários, sua opção é a força bruta.
Se você não tiver feito isso no passado, a solução seria redefinir TODAS as senhas com senhas fortes geradas aleatoriamente e entregá-las aos seus usuários. No próximo login você pode forçar seus usuários a usar senhas fortes.
John the Ripper é um ataque de força bruta. Tem um dicionário massivo e códigos hash armazenados e, em seguida, executa isso contra suas senhas. Você sempre pode executar isso, mas deve ser um desperdício de tempo de CPU, pois você deve impor senhas fortes.
fonte
Há toneladas de serviços online que geram senhas seguras e serviços que verificam a força atual da senha em um clique (ou até mesmo sem cliques :)). Pessoalmente, eu gosto GetSecurePassword já que combina os dois recursos.
fonte
João, o Estripador é outra ferramenta para usar para isso. Na verdade, tenta quebrar sua senha com base em muitos métodos diferentes. O importante com o JTR é o tempo de execução - quanto mais demorado, mais segura é a senha.
A maneira de usá-lo é detalhada Aqui (Eu evitei ligar para documentatoin do projeto - é muito esparso)
é o método mais rápido para colocá-lo em funcionamento.
fonte