Passworte in /etc/shadow

Monday, August 19. 2013

 Ich bekam doch einen Schreck, als ich auf einem Rechner, der seit sarge oder so immer debian-stable hatte, bei einer Kontrolle darauf stiess, dass die Passworte in /etc/shadow nur mit md5 gehasht wurden. 
Der Sache nachgehend fand ich einen Thread in den Debian-User Foren, der dank eines hartnäckig nachfragenden Users eine recht erhellende Diskussion zum Thema hat. 

Bei einem Eintrag in shadows der Form:

webdb8_usr:$1$Ksmg|oP`$9S1FToADihC6K4o2cifd50:15672:0:99999:7:::
steht $1 für den Hash-algorithmus md5, zwischen den beiden nächsten $ stehen 8 Zeichen salt und dem folgt dann das Hash.
$5 wäre SHA-256 und $6 SHA-512
 
Die relevante config dazu fand sich in /etc/pam.d/common-password
Hier fand ich:
password   required   pam_unix.so nullok obscure min=4 max=16 md5
ich habe es ersetzt bzw ergaenzt durch
password   required   pam_unix.so nullok obscure min=8  sha512 rounds=65519 
 
nun ist die entsprechende Zeile in der Shadow auch deutlich länger....
 
Das abschliessende rounds=65519 sorgt dafür, dass das Passwort nicht einfach einmal gehasht wird, sondern das Ergebnis ein weiteres Mal, und dann wieder und wieder - 65519 mal hintereinander. Das hat hauptsaechlich den Nutzen, eine Weile zu dauern, immer noch zu kurz, um bei einer aktuellen Passworteingabe aufzufallen, aber lang genug, um brute force Passwortknackern lästig zu fallen.
(Page 1 of 1, totaling 1 entries)