¿Por qué la guía de seguridad de Debian recomienda las contraseñas de hash md5?

Navega tus respuestas
3

Estoy leyendo las instrucciones de seguridad de Debian y encontré una sección que me pareció extraña: recomienda usar hashes md5 para las contraseñas de / etc / shadow ( enlace ).

Este documento se actualizó por última vez en abril de 2012, por lo que tengo curiosidad de por qué recomendarían md5 como la instalación de almacenamiento de contraseña. Si entiendo correctamente, esto es en realidad md5-crypt y está usando 1000 iteraciones, pero eso todavía parece bastante preocupante para un servidor moderno.

¿Puede alguien dar una idea de por qué harían esta recomendación?

    
pregunta Anthony Kraft 04.03.2014 - 07:24
fuente

1 respuesta

3

como puedas lea en este manual esa misma fecha data de 2002: 

 At the end of the installation, you will be asked if shadow passwords
 should be enabled.  Answer yes to this question, so passwords will be
 kept in the file '/etc/shadow'.  Only the root user and the group
 shadow have read access to this file, so no users will be able to grab
 a copy of this file in order to run a password cracker against it.
 You can switch between shadow passwords and normal passwords at any
 time by using 'shadowconfig'.

 Read more on Shadow passwords in Shadow Password
 (http://www.linuxdoc.org/HOWTO/Shadow-Password-HOWTO.html)
 ('/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz').

 Furthermore, you are queried during installation whether you want to
 use MD5 hashed passwords.  This is generally a very good idea since it
 allows longer passwords and better encryption.  MD5 allows for
 passwords longer than 8 characters.  This, if used wisely, can make it
 more difficult for attackers to brute-force the system's passwords.
 Regarding MD5 passwords, this is the default option when installing
 the latest 'password' package.  You can change this anytime after
 installation by doing 'dpkg-reconfigure -plow passwd'.  You can
 recognize md5 passwords in the '/etc/shadow' file by their $1$ prefix.

 This, as a matter of fact, modifies all files under '/etc/pam.d' by
 substituting the password line and include md5 in it:

            password required pam_unix.so md5 nullok obscure min=6 max=16

 If 'max' is not set over 8 the change will not be useful at all.  For
 more information on this read Section 4.10.1, 'User authentication:
 PAM'.

 Note: the default configuration in Debian, even when activating MD5
 passwords, does not modify the previously set 'max' value.

Esta ya no es la forma predeterminada de hash de las contraseñas en debian.

En el capítulo 4.11.1.1 Seguridad de contraseña en PAM puedo leer que la opción predeterminada es sha512 de Debian Squeeze (2009).

  

Debe asegurarse de que el módulo pam_unix.so use la opción "sha512" para usar contraseñas cifradas. Este es el valor predeterminado en Debian Squeeze.

     

La línea con la definición del módulo pam_unix se verá   algo como: 

   password   [success=1 default=ignore]      pam_unix.so nullok obscure minlen=8 sha512

El problema con estos manuales es que hay algunas partes que están desactualizadas. La comunidad intenta solucionar este tipo de problemas si los denuncia, y también puede ofrecerse como voluntario para arreglar esa parte de la documentación.

    
respondido por el kiBytes 04.03.2014 - 07:58
fuente

Lea otras preguntas en las etiquetas

¿Alguna forma de ofuscar * cuando * dos hosts finales se están comunicando? Bitlocker en una computadora portátil sin llevar la clave de recuperación