/etc/shadowの同じソルト/ハッシュ

/etc/shadowの同じソルト/ハッシュ

/etc/shadow を見ると、まったく同じソルトとハッシュ(およびパスワード)を使用している複数のユーザーを見ることができます。

システムはどのようになりましたか?これは、パスワードがpasswd(passwdランダムソルトを介して)生成されていないことを意味しますか?これは特に悪いですか?

答え1

passwdランダムなソルトを使用または生成してパスワードを設定すると、chpasswd同じパスワードを持つユーザーが同じハッシュを持たなくなります。このようにして同じハッシュ値を取得するには、再起動の間にエントロピーを保存しない誤って設定されたシステムが必要です。 (スナップショットから復元するとき)、から正確に同じバイト数を読み取った後、すべてのパスワードが生成されます/dev/urandom。これはほとんど不可能です。

したがって、同じハッシュが表示されると、ハッシュがコピーされたことを意味します。偶然同じパスワードを複数回設定するのではなく、わざと同じパスワードを設定します。管理者はパスワードデータベースを直接編集したり、ハッシュをコピーしたり、同様の方法でchpasswd -eハッシュを提供したりできます。

重複したパスワードハッシュの唯一の悪い結果は、アカウントが同じパスワードを持っていることが明らかになることです。通常、他のソルトの場合と同様に、パスワードを推測する以外に、両方のアカウントのパスワードが同じであることを確認することはできません。

関連情報