Tôi muốn thay đổi mật khẩu của mình trên một máy unix. Tôi đã thực hiện một "mật khẩu" bình thường và nhập mật khẩu cũ và mới.
Sau đó, máy quay lại với tôi với thông báo sau:
BAD PASSWORD: is too similar to the old one
Điều đó khiến tôi suy nghĩ ... Điều đó có nghĩa là, máy có mật khẩu của tôi ở dạng văn bản rõ ràng ở đâu đó? Nếu không, nó sẽ không thể so sánh mật khẩu cũ và mật khẩu mới, phải không? Hoặc có một hàm băm, cho phép điều đó?
Câu trả lời:
OK, vì vậy tôi đã làm theo gợi ý của Michael Hampton và đi xem mã của pam_cracklib.c và dường như pam_cracklib nhận được mật khẩu cũ (còn gọi là hiện tại) từ PAM thông qua một cuộc gọi chức năng (mà tôi thấy hoàn toàn ổn, như tôi thấy Tôi vừa nhập mật khẩu hiện tại để xác thực) và sau đó thực hiện phân tích tương tự (chức năng khoảng cách) giữa mật khẩu cũ và mật khẩu mới tôi vừa nhập.
Nhưng nó không thực hiện phân tích này cho tất cả các mật khẩu cũ trong lịch sử của nó. Điều đó sẽ không thể xảy ra, vì chúng chỉ được lưu trữ dưới dạng băm. Đối với họ chỉ có thể có một kiểm tra nếu họ giống nhau. Vì vậy, mọi thứ dường như được sắp xếp theo thứ tự, như tôi mong đợi, nhưng bây giờ tôi đã hiểu tại sao nó ... cảm ơn mọi người.
Mật khẩu cũ của bạn không được lưu trữ trong văn bản đơn giản.
Thay vào đó, băm mật khẩu cũ của bạn được lưu trữ /etc/security/opasswdbởi PAM. Sau đó, nó sẽ so sánh khi bạn thay đổi mật khẩu, dựa trên những gì đã được chỉ định trong cấu hình PAM.
Một ví dụ cấu hình PAM:
password required pam_unix.so sha512 remember=12 use_authtok
Ở đây, rememberlàm cho nó nhớ 12 mật khẩu trước đó.
Để biết thêm chi tiết, xem Linux Password Security với pam_cracklib .