/etc/shadow を見ると、まったく同じソルトとハッシュ(およびパスワード)を使用している複数のユーザーを見ることができます。
システムはどのようになりましたか?これは、パスワードがpasswd
(passwdランダムソルトを介して)生成されていないことを意味しますか?これは特に悪いですか?
答え1
passwd
ランダムなソルトを使用または生成してパスワードを設定すると、chpasswd
同じパスワードを持つユーザーが同じハッシュを持たなくなります。このようにして同じハッシュ値を取得するには、再起動の間にエントロピーを保存しない誤って設定されたシステムが必要です。 (スナップショットから復元するとき)、から正確に同じバイト数を読み取った後、すべてのパスワードが生成されます/dev/urandom
。これはほとんど不可能です。
したがって、同じハッシュが表示されると、ハッシュがコピーされたことを意味します。偶然同じパスワードを複数回設定するのではなく、わざと同じパスワードを設定します。管理者はパスワードデータベースを直接編集したり、ハッシュをコピーしたり、同様の方法でchpasswd -e
ハッシュを提供したりできます。
重複したパスワードハッシュの唯一の悪い結果は、アカウントが同じパスワードを持っていることが明らかになることです。通常、他のソルトの場合と同様に、パスワードを推測する以外に、両方のアカウントのパスワードが同じであることを確認することはできません。