Làm cách nào để ngăn người dùng thay đổi mật khẩu của họ thành một trong những mật khẩu X cuối cùng?

Tôi có Ubuntu GNOME 15.10 với hệ thống Gnome 3.18 mà tôi muốn thiết lập để người dùng sử dụng nó không thể đặt mật khẩu mới là một trong những mật khẩu X trước đây, làm thế nào để đạt được điều này?

Khi tôi thay đổi mật khẩu, nếu nó quá giống với lần cuối thì hệ thống của tôi không cho phép tôi đổi mật khẩu đó, thật tốt nếu câu trả lời cũng có thể chỉ ra cách mở rộng mật khẩu này để mật khẩu mới cũng không thể quá giống với mật khẩu được ghi X trước đó.

Lưu ý: Không nên lưu trữ lịch sử của các mật khẩu X cuối cùng theo cách không được mã hóa không an toàn, trên thực tế, chúng có thể được lưu trữ theo cùng hoặc tương tự như cách lưu trữ mật khẩu hiện tại (dưới dạng băm muối).

Tôi đã sử dụng Xđể đại diện cho số lượng mật khẩu (đây có thể là bất kỳ giá trị nào) vì tôi muốn có thể dễ dàng thay đổi số lượng mật khẩu được lưu trữ không thể sử dụng và để người khác có thể dễ dàng trả lời và sử dụng nó khi họ mong muốn hơn là có một câu trả lời xoay quanh một giá trị rất được đặt cho X.

Cập nhật thông tin:

Theo yêu cầu ở đây là nội dung của /etc/pam.d/common-passwordtệp (không bao gồm các nhận xét ở trên cùng) :

# here are the per-package modules (the "Primary" block)
password        [success=1 default=ignore]      pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
password        optional        pam_gnome_keyring.so
# end of pam-auth-update config

gnome password security

— guntbert
nguồn

Lưu ý rằng a) buộc người dùng thay đổi mật khẩu và b) ngăn X mật khẩu cũ trong đó X> 2 có thể giảm bảo mật ... "Hmm tốt hơn chỉ cần thêm 1 vào mật khẩu cũ của tôi ... Và viết nó vào ghi chú bài đăng để nhắc nhở tôi ... "

— Tim

@Tim: Đã có các cơ chế được tích hợp trong hệ thống của tôi để ngăn mật khẩu quá giống với lần trước.

Điều đó thường tệ như vậy - điều đó đảm bảo người dùng sẽ viết nó xuống. Tôi cũng không tin rằng việc thay đổi nó có bất kỳ lợi ích nào - và chắc chắn nó có những tiêu cực.

— Tim

@Tim: Ngoài ra, bạn vừa nhắc tôi về một điều mà tôi quên đưa vào, tôi đã cập nhật câu hỏi của mình với nó (mặc dù lưu ý rằng mặc dù điều này sẽ tốt, nhưng câu trả lời không thể chỉ ra cách làm điều bổ sung này thì tôi sẽ ổn với nhận được những gì tôi yêu cầu ban đầu).

@Tim: Tôi sẽ có các chính sách khác để ngăn chặn họ làm điều đó và sẽ theo dõi chặt chẽ chúng.

Bạn có thể cấu hình PAM để làm điều này cho bạn. Chỉ cần mở /etc/pam.d/common-passwordvà nối use_authtokvào passworddòng đầu tiên (dòng gọi mô-đun pam_unix) để nó trông giống như thế này:

password    [success=1 default=ignore]  pam_unix.so obscure sha512 use_authtok

Bây giờ thêm dòng này trên dòng sửa đổi trước đó:

password    required    pam_pwhistory.so  remember=X

nơi Xlà số lượng mật khẩu trước đó dựa vào đó bạn muốn kiểm tra cho một mật khẩu lặp đi lặp lại.

Tại đây, Xmật khẩu trước đó sẽ được lưu trữ ở dạng băm tại vị trí/etc/security/opasswd

Vì vậy, bạn cần tạo tệp khi và chỉ khi nó không tồn tại và gán cho nó quyền 600 ( -rw-------):

sudo touch /etc/security/opasswd
sudo chmod 600 /etc/security/opasswd

— daltonfury42
nguồn

Mặc dù làm như bạn nói dường như có nghĩa là nếu tôi cố gắng đặt mật khẩu tôi đã sử dụng trước đây như một trong những mật khẩu X cuối cùng của tôi trong trung tâm kiểm soát gnome, nó không làm gì cả và buộc tôi buộc phải thoát khỏi ứng dụng, nhưng nó không Có vẻ như hoạt động rất tốt ... Chính xác thì nó làm gì vào ngày 14.04? Bởi vì tôi mong đợi nó chỉ ra cho tôi nếu mật khẩu không phù hợp thay vì chỉ treo khi tôi yêu cầu nó thay đổi.

@ParanoidPanda Rất thú vị. Bạn nhận được gì khi bạn cố gắng thay đổi mật khẩu bằng cách sử dụng passwd? Đây là những gì xảy ra với tôi. Khi tôi thay đổi bằng cách sử dụng, passwdtôi nhận được "Mật khẩu đã được sử dụng. Chọn một mật khẩu khác." và khi tôi cố gắng thay đổi mật khẩu từ GUI, nó không cho phép tôi thay đổi mật khẩu (Nút thay đổi bị mờ đi) và "Mật khẩu quá yếu" được viết.

— daltonfury42

Cần lưu ý rằng tôi đang báo cáo từ Ubuntu 14.04 đang chạy Unity, không phải Gnome.

— daltonfury42

Tôi đã thử nghiệm lại lần nữa, lần này trong một bản cài đặt Ubuntu GNOME 16.04 Beta 2 với Gnome 3.20 và tôi đã thấy rằng nó hoạt động giống như bạn đã mô tả với passwdlệnh, nhưng không phải trong gnome-control-centerđó, nó chỉ bị treo sau khi nó cho phép tôi để nhấn Change. Mặc dù có lẽ đây là một lỗi nhưng tôi cần phải báo cáo về ...

@ParanoidPanda Điều này có thể là do lập trình tệ hại trong trung tâm điều khiển gnome, không phải vì điều này không hoạt động. Cấu hình PAM chắc chắn là cách tốt nhất để làm điều này.

— Seth