วิธีสร้างรหัสผ่านที่แฮช SHA-512 สำหรับเงา

คำถาม SF ก่อนหน้านี้ที่ฉันเคยเห็นได้นำไปสู่คำตอบที่สร้างรหัสผ่านแฮช MD5

ไม่มีใครมีข้อเสนอแนะในการผลิตรหัสผ่านแฮช SHA-512 หรือไม่? ฉันต้องการซับหนึ่งแทนที่จะเป็นสคริปต์ แต่ถ้าสคริปต์เป็นทางออกเดียวนั่นก็ใช้ได้เช่นกัน

ปรับปรุง

แทนที่รุ่น py2 ก่อนหน้าด้วยอันนี้:

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

นี่คือหนึ่งซับ:

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

Python 3.3+ รวมmksaltอยู่ในห้องใต้ดินซึ่งทำให้ใช้งานได้ง่ายขึ้น (และปลอดภัยยิ่งขึ้น):

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

หากคุณไม่ได้ให้การโต้แย้งไปcrypt.mksalt(มันสามารถที่จะยอมรับcrypt.METHOD_CRYPT, ...MD5, SHA256และSHA512) ก็จะใช้ที่มีอยู่แข็งแกร่ง

ID ของแฮช (หมายเลขหลังจากแรก$) เกี่ยวข้องกับวิธีการที่ใช้:

• 1 -> MD5
• 2a -> Blowfish (ไม่ใช่ใน mainline glibc; เพิ่มใน Linux ดิสทริบิวชัน)
• 5 -> SHA-256 (ตั้งแต่ glibc 2.7)
• 6 -> SHA-512 (ตั้งแต่ glibc 2.7)

ฉันขอแนะนำให้คุณค้นหาว่าเกลือเป็นเช่นไรและตามความเห็นของนักธุรกิจขนาดเล็กแสดงความคิดเห็นความแตกต่างระหว่างการเข้ารหัสและการแฮช

อัพเดต 1: สตริงที่สร้างขึ้นเหมาะสำหรับสคริปต์ shadow และ kickstart อัปเดต 2: คำเตือน หากคุณกำลังใช้งาน Mac ให้ดูความคิดเห็นเกี่ยวกับการใช้งานนี้ใน python บน mac ที่ดูเหมือนจะไม่ทำงานตามที่คาดไว้

บน Debian คุณสามารถใช้ mkpasswd เพื่อสร้างรหัสผ่านด้วยอัลกอริทึมการแฮชต่างๆที่เหมาะสมสำหรับ / etc / shadow มันรวมอยู่ในแพคเกจ whois (ตามไฟล์ apt)

mkpasswd -m sha-512
mkpasswd -m md5

เพื่อรับรายการ algoritms hashing ที่มีอยู่:

mkpasswd -m help 

HTH

คำตอบที่ดีที่สุด: grub-crypt

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

นี่คือรหัส C สั้น ๆ เพื่อสร้างรหัสผ่าน SHA-512 บนระบบปฏิบัติการ Unix ประเภทต่างๆ

ไฟล์: passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

เพื่อรวบรวม:

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

ใช้:

passwd-sha512 <password> <salt (16 chars max)>

Perl one-liner solution ในการสร้างรหัสผ่านที่แฮช SHA-512:

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

ทำงานบน RHEL 6

ทำไมไม่ทำการตรวจสอบและปรับเปลี่ยนต่อไปนี้กับเครื่อง Centos / RHEL เพื่อให้แน่ใจว่าการแฮ็กรหัสผ่านทั้งหมดสำหรับ / etc / shadow เสร็จสิ้นด้วย sha512 จากนั้นคุณสามารถตั้งค่า passworkd ของคุณตามปกติด้วยคำสั่ง passwd

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

นี่คือหนึ่งซับที่ใช้คำสั่งเชลล์เพื่อสร้างรหัสผ่านที่แฮช SHA-512 ด้วยเกลือแบบสุ่ม:

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $ (openssl rand -base64 16 | tr -d '+ =' | head -c 16)

หมายเหตุ

1. คุณอาจต้องติดตั้งแพ็คเกจ "whois" (Debian, SuSE, ฯลฯ ) ซึ่งให้บริการ "mkpasswd"
2. ดู crypt (3) สำหรับรายละเอียดเกี่ยวกับรูปแบบของบรรทัดใน "/ etc / shadow"

อ่านความคิดเห็นด้านล่างเพื่อเรียนรู้เกี่ยวกับผลกระทบด้านความปลอดภัยของคำตอบนี้

สำหรับความคิดของ Ruby นี่คือหนึ่งซับ:

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

สคริปต์นี้ใช้ได้กับฉันใน Ubuntu 12.04 LTS: https://gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

มันมีคุณสมบัติดังต่อไปนี้ซึ่งทางเลือกอื่น ๆ ขาด:

• มันสร้างเกลือของมันอย่างปลอดภัย ไม่มีใครควรพึ่งพาการทำสิ่งนี้ด้วยตนเอง เคย
• มันไม่ได้เก็บอะไรไว้ในประวัติเชลล์
• เพื่อความชัดเจนมันพิมพ์รหัสผ่านของผู้ใช้ที่สร้างขึ้นซึ่งอาจดีเมื่อสร้างรหัสผ่านของผู้ใช้จำนวนมาก

HASH algos ใช้สำหรับสร้างข่าวสารย่อย แต่ไม่เหมาะสำหรับรหัสผ่านซึ่งควรใช้ HKDF ( http://tools.ietf.org/rfc/rfc5869.txt ) - ดู PBKDF2 หรือ BCrypt

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

คุณสามารถโคลนได้จาก repo GitHub ของฉันหากคุณต้องการ: https://github.com/antoncohen/mksha

มันไม่ใช่หนึ่งซับ แต่มันอาจช่วยใครซักคน:

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

เห็นได้ชัดว่าคุณเพิ่งคว้าฟิลด์ที่ 2 และสามารถลบไฟล์เมื่อคุณเพิ่มลงในเงาหรือเพื่อใช้กับ sudo (ยังคงเป็นเงามากที่สุด)

ลองดูที่หน้า man สำหรับ crypt (3) และฉันคิดว่าคุณจะพบว่าเครื่องมือ crypt นั้นได้รับการปรับปรุงให้ใช้ glibc และ sha256 ($ 5) และ sha512 ($ 6) หลายรอบเกลือที่ใหญ่กว่าและอื่น ๆ .

เห็นได้ชัดว่า SHA512 เกี่ยวข้องกับการทำงานของ / etc / shadow

ที่กล่าวว่าหน้าเว็บนี้มีประโยชน์มากโดยเฉพาะ MKPASSWD เนื่องจากนี่เป็นการแก้ไขปัญหาของฉัน

ด้วยรหัสผ่านที่ "หายไป" ฉันสามารถใช้ MKPASSWD และเกลือเพื่อสร้างแฮช SHA512 และยืนยัน / ปฏิเสธรายการรหัสผ่านผู้สมัคร

ฉันจะใช้ John the ripper - แต่อย่างน้อยในฮาร์ดแวร์ของฉัน (Raspberry Pi) และงบประมาณของฉัน (ไม่มีอะไร) - John ไม่สามารถทำได้ (ดูเหมือนจะไม่สนับสนุนสิ่ง crypt / glibc ขั้นสูงในรุ่นฟรีของ raspbian

โปรดทราบว่าเนื่องจากฉันได้รับอนุญาตให้อ่าน / เขียน / etc / shadow มากพอฉันสามารถเขียนทับแฮชและใช้ชีวิตต่อไป ... นี่คือแบบฝึกหัดทางวิชาการ

บันทึกย่อ Glibc เวอร์ชัน glibc2 ของฟังก์ชันนี้รองรับอัลกอริธึมการเข้ารหัสเพิ่มเติม

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

หากคุณต้องการทางเลือกสำหรับ one-liners ที่เขียนด้วย perl / python mkpasswd เป็นคู่ที่ดี แม้ว่าจะรวมอยู่ในแพ็คเกจ Debian whois แต่ก็ขาดหายไปในระบบ CentOS / RHEL ฉันได้แก้ไขเวอร์ชัน Debian ของ mkpasswd และรวมถึงกลไกการสร้างเกลือที่แข็งแกร่งขึ้นตาม OpenSSL ไบนารีที่เป็นผลลัพธ์จะรักษาพารามิเตอร์บรรทัดคำสั่งเวอร์ชันของ Debian ทั้งหมดอย่างสมบูรณ์ รหัสสามารถใช้งานได้บน gitHub และควรรวบรวมในรสชาติ Linux ใด ๆ : mkpasswd

ฉันไม่แน่ใจว่า SHA-512 เกี่ยวข้องกัน/etc/shadowอย่างไร รหัสผ่านเหล่านี้ถูกcryptแก้ไข

แต่ถ้าคุณต้องการรหัสผ่านถกกับ SHA-512 echo -n the_password | sha512sumคุณสามารถทำเช่นนี้โดย คุณไม่สามารถใช้เอาต์พุตสำหรับ / etc / shadow