Turvallisempi salasana?

[Jere Sumell]

Koodia: [Valitse]

openssl passwd -1 -salt yoursalt
Tuolla lähden muuttamaan salasanan. Voisiko olla mahdollista, että varmuuden vuoksi voi parantaa yöuniaan ajastamalla Bash-skriptiä esimerkiksi suoritettavaksi 2 kertaa kuussa, joka lisää kaikkien palvelimen käyttäjien salasanoihin satunnaisen merkkijonon sisältäen numeroita ja aakkosia suolaksi ilman, että käyttäjien toimia ei vaadita, tai nämä tietäisi asiasta mitään?

Koodia: [Valitse]

chpasswd -c SHA512 -s 0Salasanan vaihtaminen. onko tuo SHA512 turvallisempi, mitä PAM, joka on oletuksena ja kuinka monta kierrosta pitäisi tuohon SHA-suojaukseen käyttää, nyt tuossa näyttää olevan 0, mutta miten luvun valinnalla voisi vaikuttaa salasanan selvittäjän kannalta ajan pidentämiseen merkittävästi olettaen nyt, että tämä käyttää tehokasta kotikonetta nykyolosuhteissa? Vai voiko sillä vaikuttaa?

[Tomin]

Koodia: [Valitse]

openssl passwd -1 -salt yoursalt
Tuolla lähden muuttamaan salasanan. Voisiko olla mahdollista, että varmuuden vuoksi voi parantaa yöuniaan ajastamalla Bash-skriptiä esimerkiksi suoritettavaksi 2 kertaa kuussa, joka lisää kaikkien palvelimen käyttäjien salasanoihin satunnaisen merkkijonon sisältäen numeroita ja aakkosia suolaksi ilman, että käyttäjien toimia ei vaadita, tai nämä tietäisi asiasta mitään?

Ei ole mahdollista. Tiivistettä ei voi luoda tietämättä salasanaa, joten salasanaa tai suolaa ei voi muuttaa kysymättä salasanaa käyttäjältä.

Miksi edes haluaisit tehdä noin? Tai miksi olisi tarpeen suolata ja tiivistää salasana uudestaan säännöllisesti muuttamatta itse salasanaa? Onko joku syy, miksi salasanojen tiivisteet olisivat joutuneet vääriin käsiin? Silloinkin on parasta vain vaihtaa salasanat.

[Jere Sumell]

Kiitos "Tomin" vastauksesta!

Sitä juuri pohtisin, että mikä on mahdollisen tietomurron jälkeen paras toimenpide siinä tapauksessa, että käyttäjätiedot on päätyneet vääriin käsiin. Kehoitus käyttäjille salasanan vaihtamisesta on siis paras.

Yleensä, mitä seuraan ajankohtaista uutisointia myös Internetin ulkopuolelta televisiosta ja sanomalehdistä, ja jos uutisoidaan jostain tietomurrosta, tai salasanojen vääriin käsiin joutumisesta käyttäjätunnusten lisäksi, kyberturvallisuus-keskuksen ihmisetkin tiedottavat yleensä vain tuon, jollei palvelun ylläpitäjä tiedota asiakkaille, että salasana tulisi vaihtaa.

[Jere Sumell]

Vielä lisäys:

Päädyin siihen, että oman järjestelmänvalvojan salasanan saa lähes murtovarmaksi kotikone-konstein selvitettäväksi jos se täyttää nämä kriteerit:
1. Tarpeeksi pitkä siansaksaa oleva merkkijono numeroita,aakkosia isoja ja pieniä
2. Jonkinpituinen Satunnaismerkkijono (Randomly - generated salt-string) suolaksi.
3. 512 -bittisellä SHA:lla cryptaaminen ja vielä siten, että
4. SHA -kierrosten lukumäärän pistää tarpeeksi suureksi. Maksimihan on 999,999,999 kierrosta. 0 on defaulttina, joka meinaa 5000 kierrosta, ja minimi näyttäisi olevan 1000 kierrosta, mitä tarkastin faktat tuolta manuaalista.

Jos käyttäjä vaihtaa päätteellä salasanan, kävi mielessä, että jos järjestelmänvalvojana aliasioisi uudestaan varatut salasanan vaihtoon liittyvät komennot chpasswd ja passwd siten, että se lisäisi tarvittavat kytkimet ja parametrit perään, ja käyttäjät selviäisi noilla oletuskomennoilla taian tapahtuen "Under the hood", eli konepellin alla.

[matsukan]

Tuo on totta jos ei käytetää uusinta uutta SCRAM-SHA-256 suolausta joka tuottaa eri tunnisteen eri tietokoneissa (siis palvelussa) vaikka käytettäisiin samaa salasanaa.

Tämä suolaus on tällä hetkellä tietoturvallisin mutta välttämättä tämä ei ole vielä kaiken kattavasti tuettu eri ajureissa.

[Tomin]

Jos käyttäjä vaihtaa päätteellä salasanan, kävi mielessä, että jos järjestelmänvalvojana aliasioisi uudestaan varatut salasanan vaihtoon liittyvät komennot chpasswd ja passwd siten, että se lisäisi tarvittavat kytkimet ja parametrit perään, ja käyttäjät selviäisi noilla oletuskomennoilla taian tapahtuen "Under the hood", eli konepellin alla.

Käyttäjiä varten voit laittaa sen oletuksen haluamaksesi sinne /etc/login.defs-tiedostoon. He muuten vaihtavat salasanansa yleensä passwd-komennolla. chpasswd on vain salasanojen siirtoon /etc/passwd-tiedostosta /etc/shadow-tiedostoon. Joskus ennen muinoin tuo oli tarpeen tehdä, mutta nykyään kaikki säilyttävät salasanansa /etc/shadow-tiedostossa.

[Jere Sumell]

AskUbubntussa vastaavassa kysymyksessäni eilis-illalta joku oli sanonut noita aliasten ylikirjoittamisista, että käyttäjä voi kiertää pistämällä / -kenoviivamerkin komennon eteen, joka käyttää sitten sitä järjestelmän alkuperäistä kuitenkin?

Onko tuossa, jos ne määrittelee tuohon Tomin kertomaan login.defs -tiedostoon nuo tarvittavat kytkin-mausteet ja parametrit, niin mahdollista kiertää vielä jollain tavalla vaihtamaan salasanaa siten, että niitä ei kuitenkaan käytettäisi?

[_Pete_]

Mikäs tässä härdellissä on niikuin pointti? Mitä tällä kaikella (turhalla) säädöllä saavutetaan?

[Jere Sumell]

Mikäs tässä härdellissä on niikuin pointti? Mitä tällä kaikella (turhalla) säädöllä saavutetaan?

Ei mielestäni turvallisemman salasanan luonti ole ihan turhaa. Mielestäni nuo ovat ihan hyviä pointteja, joita esitin vastauksessa #3, miten itse olen käsitellyt järjestelmänvalvojana omat salasanani.  Olen saavuttanut palvelinkoneeni, joka vielä ei ole verkossa 24/7 ja ylipäätään kaikki Linux-koneiden salasana-caset, joissa olen järjestelmänvalvojana, rauhalliset yöunet tämän asian osalta.