Làm cách nào để tạo mật khẩu băm SHA-512 cho bóng?

Các câu hỏi SF trước đây tôi từng thấy đã dẫn đến câu trả lời tạo ra mật khẩu băm MD5.

Có ai có gợi ý về việc tạo mật khẩu băm SHA-512 không? Tôi thích một lớp lót thay vì tập lệnh nhưng, nếu tập lệnh là giải pháp duy nhất, điều đó cũng tốt.

Cập nhật

Thay thế các phiên bản py2 trước đó bằng phiên bản này:

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

Đây là một lót:

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

Python 3.3+ bao gồm mksalttrong mật mã , giúp sử dụng dễ dàng hơn (và an toàn hơn):

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

Nếu bạn không cung cấp một cuộc tranh cãi đến crypt.mksalt(nó có thể chấp nhận crypt.METHOD_CRYPT, ...MD5, SHA256, và SHA512), nó sẽ sử dụng có sẵn mạnh nhất.

ID của hàm băm (số sau số đầu tiên $) có liên quan đến phương thức được sử dụng:

• 1 -> MD5
• 2a -> Blowfish (không phải trong dòng chính glibc; được thêm vào trong một số bản phân phối Linux)
• 5 -> SHA-256 (kể từ glibc 2.7)
• 6 -> SHA-512 (kể từ glibc 2.7)

Tôi khuyên bạn nên tìm kiếm muối là gì và như vậy và theo từng chú thích nhỏ nhận xét sự khác biệt giữa mã hóa và băm.

Cập nhật 1: Chuỗi được sản xuất phù hợp với các kịch bản bắt đầu và bóng. Cập nhật 2: Cảnh báo. Nếu bạn đang sử dụng máy Mac, hãy xem nhận xét về việc sử dụng tính năng này trong python trên máy Mac, nơi nó dường như không hoạt động như mong đợi.

Trên Debian, bạn có thể sử dụng mkpasswd để tạo mật khẩu với các thuật toán băm khác nhau phù hợp với / etc / bóng. Nó được bao gồm trong gói whois (theo apt-file)

mkpasswd -m sha-512
mkpasswd -m md5

để có được một danh sách các loại băm có sẵn:

mkpasswd -m help 

HTH

Câu trả lời hay nhất: grub-crypt

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

Đây là một mã C ngắn để tạo mật khẩu SHA-512 trên các hệ điều hành Unix khác nhau.

Tập tin: passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

để biên dịch:

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

sử dụng:

passwd-sha512 <password> <salt (16 chars max)>

Giải pháp Perl one-liner để tạo mật khẩu băm SHA-512:

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

Đã làm việc trên RHEL 6

Tại sao không thực hiện kiểm tra và sửa đổi sau đây cho các máy Centos / RHEL để đảm bảo rằng tất cả băm mật khẩu cho / etc / bóng được thực hiện với sha512. Sau đó, bạn có thể đặt passworkd bình thường bằng lệnh passwd

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

Dưới đây là một lớp lót sử dụng các lệnh shell để tạo mật khẩu băm SHA-512 với một muối ngẫu nhiên:

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $ (openssl rand -base64 16 | tr -d '+ =' | head -c 16)

Ghi chú

1. Bạn có thể cần cài đặt gói "whois" (Debian, SuSE, v.v.), cung cấp "mkpasswd".
2. Xem mật mã (3) để biết chi tiết về định dạng của các dòng trong "/ etc / bóng".

Đọc bình luận dưới đây để tìm hiểu về ý nghĩa bảo mật của câu trả lời này

Đối với những người có suy nghĩ về Ruby ở đây là một lớp lót:

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

Kịch bản này hoạt động với tôi trên Ubuntu 12.04 LTS: https://gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

Nó có các tính năng sau đây mà một số lựa chọn thay thế khác thiếu:

• Nó tạo ra muối của nó một cách an toàn. Không ai nên dựa vào việc này bằng tay. Không bao giờ.
• nó không lưu trữ bất cứ thứ gì trong lịch sử vỏ.
• để rõ ràng, nó in mật khẩu của người dùng mà nó tạo ra có thể tốt khi tạo mật khẩu của nhiều người dùng.

Các thuật toán HASH là để sản xuất các bản tin MESSAGE, chúng không bao giờ phù hợp với mật khẩu, nên sử dụng một số loại HKDF ( http://tools.ietf.org/rfc/rfc5869.txt ) - xem PBKDF2 hoặc BCrypt

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

Bạn có thể sao chép nó từ repo github của tôi nếu bạn muốn: https://github.com/antoncohen/mksha

Nó không phải là một lớp lót, nhưng nó có thể giúp ai đó:

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

Rõ ràng, bạn chỉ cần lấy trường thứ 2 và có thể xóa tệp sau khi bạn thêm nó vào bóng hoặc để sử dụng với sudo (vẫn có khả năng là bóng tối nhất).

Hãy xem trang man về mật mã (3) và tôi nghĩ rằng bạn sẽ thấy rằng công cụ mật mã đã được cập nhật để sử dụng glibc và sha256 ($ 5) và sha512 ($ 6), nhiều vòng, muối lớn hơn nhiều, v.v. .

Rõ ràng SHA512 có liên quan đến cách / etc / bóng hoạt động.

Điều đó nói rằng, trang web này rất hữu ích - đặc biệt là MKPASSWD, vì điều này đã giải quyết vấn đề CỦA TÔI.

Với mật khẩu có khả năng bị "mất", tôi có thể sử dụng MKPASSWD và muối, để tạo hàm băm SHA512 và xác nhận / từ chối danh sách mật khẩu ứng cử viên.

Tôi sẽ sử dụng John the ripper - nhưng ít nhất là trên phần cứng của tôi (Raspberry Pi) và ngân sách của tôi (không có gì) - John không thể làm điều đó (dường như không hỗ trợ công cụ mã hóa / glibc tiên tiến trong phiên bản miễn phí của raspbian.

Nhắc bạn, vì tôi có đủ quyền để đọc / viết / etc / bóng tối, tôi COULD chỉ cần ghi đè lên hàm băm và tiếp tục cuộc sống ... đây là một bài tập học thuật.

GHI CHÚ Ghi chú Glibc Phiên bản glibc2 của chức năng này hỗ trợ các thuật toán mã hóa bổ sung.

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

Nếu bạn cần một giải pháp thay thế cho một lớp lót được viết bằng perl / python, mkpasswd là một kết hợp tốt. Mặc dù nó được bao gồm trong gói whois Debian, nhưng nó bị thiếu trên các hệ thống CentOS / RHEL. Tôi đã sửa đổi phiên bản Debian của mkpasswd và bao gồm cơ chế tạo muối mạnh hơn dựa trên OpenSSL. Nhị phân kết quả bảo toàn hoàn toàn tất cả các tham số dòng lệnh phiên bản của Debian. Mã này có sẵn trên github và sẽ biên dịch trên bất kỳ hương vị Linux nào: mkpasswd

Tôi không chắc SHA-512 có liên quan như thế nào /etc/shadow. Những mật khẩu này là crypted.

Nhưng nếu bạn muốn mật khẩu được băm bằng SHA-512, bạn có thể thực hiện việc này bằng cách echo -n the_password | sha512sum. Bạn không thể sử dụng đầu ra cho / etc / bóng.