Passworte in /etc/shadow

Monday, August 19. 2013

 Ich bekam doch einen Schreck, als ich auf einem Rechner, der seit sarge oder so immer debian-stable hatte, bei einer Kontrolle darauf stiess, dass die Passworte in /etc/shadow nur mit md5 gehasht wurden. 
Der Sache nachgehend fand ich einen Thread in den Debian-User Foren, der dank eines hartnäckig nachfragenden Users eine recht erhellende Diskussion zum Thema hat. 

Bei einem Eintrag in shadows der Form:

webdb8_usr:$1$Ksmg|oP`$9S1FToADihC6K4o2cifd50:15672:0:99999:7:::
steht $1 für den Hash-algorithmus md5, zwischen den beiden nächsten $ stehen 8 Zeichen salt und dem folgt dann das Hash.
$5 wäre SHA-256 und $6 SHA-512
 
Die relevante config dazu fand sich in /etc/pam.d/common-password
Hier fand ich:
password   required   pam_unix.so nullok obscure min=4 max=16 md5
ich habe es ersetzt bzw ergaenzt durch
password   required   pam_unix.so nullok obscure min=8  sha512 rounds=65519 
 
nun ist die entsprechende Zeile in der Shadow auch deutlich länger....
 
Das abschliessende rounds=65519 sorgt dafür, dass das Passwort nicht einfach einmal gehasht wird, sondern das Ergebnis ein weiteres Mal, und dann wieder und wieder - 65519 mal hintereinander. Das hat hauptsaechlich den Nutzen, eine Weile zu dauern, immer noch zu kurz, um bei einer aktuellen Passworteingabe aufzufallen, aber lang genug, um brute force Passwortknackern lästig zu fallen.

Passwörter von Google Chrome migrieren

Friday, August 16. 2013

 bei einer Neuinstallation von Arch hat Google Chrome alle Passwörter vergessen, ob wohl Chrome die unter Linux/KDE doch in der Wallet ablegt, und die hatte ich mitgenommen.

Ich weiss, man braucht sich einfach nur mit dem alten Googleaccount anmelden und die gespeicherten Einstellungen herunterladen. Aber damit kann Google die eine mit der anderen Browserinstanz verknüpfen. Und das will ich nicht.

Also kdewallet aufgemacht und die Inhalte als XML exportieren. Stellt sich 'raus, dass Chrome in der wallet eine ganze reihe von Ordnern unterhält, mit individualisierten Namen wie etwa 

<folder name="Chrome Form Data (1234567)"> 

Einer davon, mit fast keinen Einträgen, ist klar der neue, jetzt aktuelle. Ich bastele aus einem der vollen Folder und dem Namen des aktuellen das XML für ein Update und Importiere diese XML wieder in kdewallet. Nimmt's, speichert's und schon kennt Chrome nach dem Neustart wieder das Passwort, damit  ich hier davon berichten kann.

Diese Kennungen stehen übrigens als
~/.config/google-chrome/Default/Preferences:      "local_profile_id" 
auf der Platte, chrome und chromium 
(Page 1 of 1, totaling 2 entries)