sur AIX, ce serait simple:
chsec -f /etc/security/login.cfg -s usw -a pwd_algorithm=ssha512
Question: Mais comment pouvons-nous définir l'algorithm de mot de passe par défaut sha512?
UPDATE : Je pense que pwd_algorithm ne supporte pas ssha512, mais ce serait mieux, oui .. essayé sur un bureau Linux:
[root@notebook ~]# john --test -format=ssha512 Will run 4 OpenMP threads Benchmarking: SSHA512, LDAP [32/64 OpenSSL]... (4xOMP) DONE Many salts: 3450K c/s real, 858307 c/s virtual Only one salt: 2826K c/s real, 713696 c/s virtual [root@notebook ~]# [root@notebook ~]# john --test -format=bcrypt Will run 4 OpenMP threads Benchmarking: bcrypt ("$2a$05", 32 iterations) [Blowfish 32/64 X3]... (4xOMP) DONE Raw: 1800 c/s real, 455 c/s virtual [root@notebook ~]#
Cela signifie-t-il environ 1800 passwords par seconde avec bcrypt et ~ 3 000 000 de passwords par seconde avec ssha512 sur ce bureau? Plus lent est mieux.
Configurez ENCRYPT_METHOD SHA512
dans le file /etc/login.defs
ENCRYPT_METHOD
également attention à NOTE mentionné dans le même file, juste au-dessus du paramètre ENCRYPT_METHOD
, qui dit
Remarque: Il est recommandé d'utiliser une valeur conforme à la configuration des modules PAM .
Donc, une modification supplémentaire avec /etc/login.defs
est de modifier /etc/pam.d/common-password
mot de passe [succès = 2 default = ignore] pam_unix.so obscure sha512
Ici, obscure a été géré par login.defs mais maintenant obsolète par PAM
Linux utilise pam pour gérer les tâches d'authentification. La définition de l'algorithm de hachage par mot de passe par défaut a été effectuée en modifiant /etc/pam.d/common-password
:
password [success=1 default=ignore] pam_unix.so obscure sha256
Changez l'algorithm que vous voulez utiliser:
password [success=1 default=ignore] pam_unix.so obscure sha512
Maintenant, votre algorithm de hachage de mot de passe par défaut a été changé en sha512. Vous devez également forcer les autres users à mettre à jour leurs passwords:
chage -d 0 <username>