krb*_*686 3 linux security password
在 /etc/shadow 中,我可以看到几个具有完全相同的盐和哈希值(以及密码)的用户。
系统怎么会变成这样?这是否意味着密码不是通过生成的passwd(认为 passwd 随机化了盐)?这特别糟糕吗?
使用passwd或chpasswd生成随机盐设置密码,因此碰巧具有相同密码的用户不会具有相同的哈希值。为了以这种方式具有相同的哈希值,您必须拥有一个配置错误的系统,该系统以某种方式不会在重新启动之间保存熵,以及完全相同以重复随机种子的系统(这可能发生在虚拟机上,尤其是当从快照恢复),以及在从/dev/urandom. 这是极不可能的。
因此,如果您看到相同的哈希值,则意味着这些哈希值已被复制。密码是故意设置为相同的,而不是巧合地多次设置相同的密码。管理员直接编辑密码数据库并复制哈希,或者他们使用类似chpasswd -e提供哈希的东西。
重复密码散列的唯一不好的后果是它使帐户具有相同的密码很明显。使用不同的盐,通常情况下,除非猜测密码,否则不可能知道两个帐户具有相同的密码。