- सॉल्ट ही एक रँडम स्ट्रिंग आहे जी हॅशच्या आधी पासवर्डमध्ये जोडली जाते जेणेकरून प्रत्येक वापरकर्त्यासाठी अद्वितीय हॅश मिळतील.
- linux ते /etc/shadow मध्ये हॅश, सॉल्ट आणि अल्गोरिथम साठवते, ज्यामुळे डिक्शनरी अटॅक आणि रेनबो टेबल्स विरुद्ध सुरक्षा मजबूत होते.
- चांगल्या पद्धतींसाठी दीर्घ, यादृच्छिक आणि अद्वितीय सॉल्ट्सची आवश्यकता असते, तसेच मजबूत हॅश अल्गोरिदम आणि डाटाबेस चांगले संरक्षित.
- पासवर्ड सॉल्टिंग हे व्यापक सुरक्षा धोरणांमध्ये एकत्रित केले पाहिजे ज्यामध्ये मजबूत पासवर्ड, एमएफए आणि पासवर्ड व्यवस्थापक यांचा समावेश आहे.
जर तुम्ही GNU/Linux सिस्टीमवर काम करत असाल किंवा तुमच्या खात्यांच्या सुरक्षिततेबद्दल काळजीत असाल, तर तुम्ही कदाचित ऐकले असेल पासवर्ड हॅशमध्ये मीठही अशा संकल्पनांपैकी एक आहे ज्याचा खूप उल्लेख केला जातो, परंतु बहुतेकदा ती अर्धवटच समजते: ती तांत्रिक वाटते, परंतु प्रत्यक्षात ती मोडण्यास सोपी असलेल्या आणि हल्ल्यांना जास्त प्रतिरोधक असलेल्या प्रणालीमध्ये फरक करते.
थोडक्यात, मीठ म्हणजे पासवर्ड हॅश अप्रत्याशित करण्यासाठी महत्त्वाचा घटकहे हॅश अल्गोरिथम लागू करण्यापूर्वी यादृच्छिक डेटा जोडून कार्य करते जेणेकरून, जरी दोन वापरकर्त्यांचा पासवर्ड समान असला तरीही, डेटाबेसमध्ये संग्रहित परिणाम भिन्न असेल. तिथून, Linux मधील विशिष्ट अंमलबजावणी, /etc/shadow शी त्याचा संबंध, mkpasswd सारखी साधने आणि आधुनिक सुरक्षा सर्वोत्तम पद्धती हे स्वतःमध्ये एक संपूर्ण जग आहे, जे आपण तपशीलवार एक्सप्लोर करू.
पासवर्ड हॅशमध्ये नेमके काय मीठ असते?
क्रिप्टोग्राफीमध्ये, अ मीठ (मीठ) म्हणजे यादृच्छिक वर्णांची मालिका जे हॅश फंक्शन लागू करण्यापूर्वी वापरकर्त्याच्या पासवर्डमध्ये जोडले जाते. साध्या मजकूराचा पासवर्ड अनेक वापरकर्त्यांसाठी सारखा असला तरीही परिणामी हॅश अद्वितीय असणे हे ध्येय आहे.
जेव्हा वापरकर्ता त्यांचा पासवर्ड तयार करतो किंवा बदलतो, तेव्हा सिस्टम एक जनरेट करते यादृच्छिक मीठते पासवर्डसह (आधी, नंतर, किंवा योजनेनुसार विशिष्ट स्वरूपात) एकत्र करते आणि त्या संयोजनावर हॅश अल्गोरिथम लागू करते, जसे की SHA-256 o SHA-512पासवर्ड डेटाबेसमध्ये साठवला जात नाही, तर (पासवर्ड + मीठ) चे हॅश, आणि बहुतेक योजनांमध्ये मीठ देखील हॅशसह साठवले जाते.
हे तंत्र अनेकांना प्रस्तुत करते प्रीकंप्युटेड हॅशवर आधारित हल्ला तंत्रे, जसे की रेनबो टेबल्स, आणि मोठ्या प्रमाणात शब्दकोश आणि क्रूर-फोर्स हल्ल्यांना मोठ्या प्रमाणात गुंतागुंतीचे करते. एक हल्लेखोर आता अनेक वापरकर्ते पासवर्ड शेअर करतात या वस्तुस्थितीचा फायदा घेऊ शकत नाही, कारण प्रत्येकाचा वेगळा हॅश असेल.
हे समजून घेणे महत्वाचे आहे की मीठ हे स्वतःच एक रहस्य नाही: तो पासवर्ड किंवा खाजगी की नाही.त्याचे कार्य हॅशिंग प्रक्रियेत यादृच्छिकता आणि विशिष्टता आणणे आहे. सुरक्षा अजूनही वापरण्यावर अवलंबून असते मजबूत संकेतशब्द y योग्य हॅश अल्गोरिदम, शक्यतो विशेषतः पासवर्डसाठी डिझाइन केलेले (जसे की bcrypt, scrypt, Argon2), जरी अनेक क्लासिक लिनक्स सिस्टीम SHA-256 किंवा SHA-512 चे प्रकार वापरतात.
पासवर्ड सॉल्टिंग कसे चरण-दर-चरण कार्य करते
सॉल्टिंग प्रक्रिया अगदी सोप्या चरणांच्या मालिकेत सारांशित केली जाऊ शकते, परंतु सुरक्षेवर मोठा परिणाम:
प्रथम, जेव्हा वापरकर्ता त्यांचा पासवर्ड नोंदणी करतो किंवा बदलतो, तेव्हा सिस्टम एक निर्माण करते अद्वितीय आणि यादृच्छिक मीठ त्या क्रेडेन्शियलसाठी. ते सॉल्ट सहसा पुरेसे लांबीचे असते (उदाहरणार्थ, १६ बाइट्स किंवा त्याहून अधिक) आणि ते क्रिप्टोग्राफिकली सुरक्षित रँडम नंबर जनरेटरकडून मिळवले जाते.
पुढे, वापरकर्त्याने निवडलेला पासवर्ड त्या सॉल्टसह एकत्र करून एक तयार केला जातो मध्यवर्ती साखळीहे संयोजन सॉल्ट + पासवर्ड एकत्र करणे इतके सोपे असू शकते किंवा हॅश स्कीमद्वारे परिभाषित केलेले अधिक जटिल स्वरूप असू शकते. महत्त्वाची गोष्ट म्हणजे प्रत्येक वापरकर्त्याला वेगळे संयोजन मिळते.
मग, एक एकेरी हॅश अल्गोरिथमपरिणामी, एक निश्चित लांबीची हॅश, एक यादृच्छिक स्ट्रिंग दिसते, जी डेटाबेसमध्ये सॉल्टसह संग्रहित केली जाईल. आधुनिक प्रणालींमध्ये, अल्गोरिदम शोधले जात आहेत जे उत्पादन करतात लांब आणि गुंतागुंतीचे निर्गमनयामुळे शोधाची जागा वाढते आणि क्रूर शक्तीचे हल्ले अधिक महाग होतात.
शेवटी, जेव्हा वापरकर्ता लॉग इन करतो, तेव्हा सिस्टम पुन्हा प्रविष्ट केलेला पासवर्ड पुनर्प्राप्त करते. संबंधित मीठ डेटाबेसमधून, ते अगदी त्याच कॉम्बाइनिंग आणि हॅशिंग प्रक्रियेची पुनरावृत्ती करते आणि संग्रहित हॅशशी निकालाची तुलना करते. जर ते जुळले तर, साधा मजकूर न जाणता पासवर्ड बरोबर आहे हे त्याला कळते.
ही यंत्रणा सुनिश्चित करते की डेटाबेस लीक झाला तरीही, हल्लेखोर फक्त पाहू शकेल वैयक्तिक हॅश त्यांच्या स्वतःच्या क्षारांसहतुलनात्मक हॅशच्या संचाऐवजी, हल्ला थांबवणे जादू नाही, परंतु ते संगणकीयदृष्ट्या लक्षणीयरीत्या महाग होते.
पासवर्ड हॅशमध्ये सॉल्ट वापरण्याचे फायदे
सॉल्टिंग वापरण्याचे मुख्य कारण म्हणजे संग्रहित पासवर्डची सुरक्षा मजबूत करते विविध प्रकारच्या हल्ल्यांविरुद्ध. परंतु विशिष्ट फायद्यांचे तपशीलवार वर्णन करणे योग्य आहे.
प्रथम, सॉल्टिंग प्रदान करते शब्दकोश हल्ल्यांना प्रतिकारसॉल्टशिवाय, आक्रमणकर्ता सामान्य पासवर्ड आणि त्यांच्या हॅशची एक मोठी यादी तयार करू शकतो आणि त्यांची तुलना चोरीच्या डेटाबेसशी करू शकतो. प्रत्येक वापरकर्त्यासाठी एक अद्वितीय सॉल्ट असल्याने, त्या पूर्व-गणित केलेल्या हॅश निरुपयोगी ठरतात, कारण प्रत्येक पासवर्ड + सॉल्ट संयोजन वेगळे मूल्य निर्माण करते.
दुसरे म्हणजे, मीठाच्या वापरामुळे परिणामकारकता कमी होते इंद्रधनुष्य टेबल्सलोकप्रिय पासवर्ड रिकव्हरी जलद करण्यासाठी हे फक्त पूर्व-गणना केलेले हॅश डेटाबेस आहेत. पुन्हा एकदा, परिणाम विशिष्ट सॉल्टवर अवलंबून असल्याने, अनसॉल्टेड हॅशसाठी डिझाइन केलेले हे टेबल निरुपयोगी किंवा किमान अत्यंत अकार्यक्षम ठरतात.
आणखी एक स्पष्ट फायदा म्हणजे ते सुधारते गळती झाल्यास गोपनीयताजरी एखाद्या घुसखोराने त्याच्या हॅश आणि सॉल्टसह वापरकर्त्याच्या टेबलमध्ये प्रवेश मिळवला तरी, ते इतरांसारखाच पासवर्ड कोणाकडे आहे हे पटकन ओळखू शकणार नाहीत किंवा सहजपणे मोठ्या प्रमाणात हल्ले करू शकणार नाहीत. प्रत्येक खात्यावर वैयक्तिक लक्ष देणे आवश्यक असते, जे सहसा मोठ्या प्रमाणात अव्यवहार्य असते.
शिवाय, सॉल्टिंगमुळे गुंतागुंत वाढते क्रूर शक्तीचे हल्लेएकाच वेळी सर्व हॅश विरुद्ध उमेदवार पासवर्डची चाचणी घेण्याऐवजी, आक्रमणकर्त्याला प्रत्येक वापरकर्त्याच्या प्रमाणाचा विचार करावा लागतो, ज्यामुळे एकूण वर्कलोड गुणाकार होतो. जर हे हळू आणि पॅरामीटराइझ करण्यायोग्य हॅशिंग अल्गोरिथम (bcrypt किंवा Argon2 सारखे) सह एकत्रित केले तर हल्ल्याचा खर्च आणखी वाढतो.
शेवटी, सॉल्टिंग ही एक तंत्र आहे जी तांत्रिक उत्क्रांतीशी चांगले जुळवून घेते. संगणक उपकरणे सुधारत असताना आणि नवीन हल्ले उदयास येत असतानाही, मजबूत हॅश आणि अद्वितीय मीठ यांचे मिश्रण हे उच्च आणि स्केलेबल पातळीची अडचण राखते: तुम्ही सॉल्टची लांबी वाढवू शकता, अल्गोरिदम मजबूत करू शकता, संगणकीय खर्च वाढवू शकता इ.
लिनक्स पासवर्ड सॉल्टिंग कसे लागू करते (/etc/shadow)
लिनक्स सिस्टीम आणि इतर *NIX प्रकारांमध्ये, वापरकर्ता पासवर्ड /etc/passwd मध्ये साठवले जात नाहीत, तर फाइलमध्ये साठवले जातात / इ / छायाही फाइल, फक्त सुपरयुजरसाठी प्रवेशयोग्य आहे, अतिरिक्त माहितीसह पासवर्ड हॅश संग्रहित करते आणि जिथे सॉल्ट आणि हॅश अल्गोरिथमचा वापर स्पष्टपणे दिसतो.
/etc/shadow मधील ओळींची रचना अशी आहे:
वापरकर्ता:$id$sal$hash:अतिरिक्त_फील्ड्स…
प्रतीक $ वेगवेगळे भाग वेगळे करा. वापरकर्तानावानंतरचा पहिला भाग दर्शवितो की अल्गोरिथमचा प्रकार वापरले. उदाहरणार्थ, $ 1 $ सहसा MD5 दर्शवते, $ 5 $ SHA-256 आणि $ 6 $ SHA-512, जे आधुनिक वितरणांमध्ये सर्वात सामान्य अल्गोरिथम आहे कारण ते DES किंवा MD5 वर आधारित जुन्या योजनांपेक्षा जास्त सुरक्षा देते.
अल्गोरिथम आयडेंटिफायर दिसल्यानंतर मीठआणि मग परिणामी हॅशहे सर्व एकाच क्षेत्रात आहे. जेव्हा पासवर्ड सत्यापित केला जातो, तेव्हा सिस्टम तो आयडेंटिफायर, सॉल्ट वाचते, प्रविष्ट केलेल्या पासवर्डशी संबंधित अल्गोरिथम लागू करते आणि गणना केलेल्या हॅशची साठवलेल्या पासवर्डशी तुलना करते.
जर तुम्हाला कोणत्या वापरकर्त्यांनी एन्क्रिप्टेड पासवर्ड वापरले आहेत आणि कोणता अल्गोरिथम वापरला जात आहे हे त्वरित तपासायचे असेल तर तुम्ही सारखी कमांड वापरू शकता grep '\$' /इत्यादि/छायाया संदर्भात, आधुनिक स्वरूपात हॅश असलेल्या रेषा शोधण्यासाठी डॉलर चिन्ह ($) वापरले जाते. हे चिन्ह बॅकस्लॅशने एस्केप केले पाहिजे कारण नियमित अभिव्यक्तींमध्ये ते "रेषेचा शेवट" दर्शवते.
पासवर्ड नसलेली खाती किंवा लॉक केलेली खाती सहसा त्या फील्डमध्ये असे मूल्य प्रदर्शित करतात. ! o * डॉलर्स असलेल्या हॅशऐवजी, हे दर्शविते की ते मानक पासवर्ड वापरून प्रमाणित केले जाऊ शकत नाही. ही रचना एक गोष्ट स्पष्ट करते: लिनक्स त्याच्या फॉरमॅटमध्ये सॉल्टिंग समाकलित करते स्टोरेज पासवर्ड जन्मजात
पासवर्ड हॅशिंग आणि सॉल्टिंगमधील फरक
कधीकधी मिसळलेल्या दोन संकल्पनांमध्ये स्पष्टपणे फरक करणे महत्वाचे आहे: हॅशिंग y खारटपणापासवर्ड हॅशिंग ही एक प्रक्रिया आहे ज्याद्वारे एक-मार्गी अल्गोरिथम वापरून पासवर्ड ओळखता न येणाऱ्या मूल्यात रूपांतरित केला जातो. सर्व्हरला कधीही मूळ पासवर्ड माहित असण्याची आवश्यकता नसते, फक्त वापरकर्त्याला योग्य पासवर्ड माहित आहे याची पडताळणी करण्यासाठी कारण ते समान हॅश तयार करते.
समस्या अशी आहे की जर दोन पासवर्ड एकसारखे असतील तर, मीठ न घातलेला हॅश देखील एकसारखाच असेल.हे आक्रमणकर्त्याला पासवर्डद्वारे वापरकर्त्यांची तुलना आणि गटबद्धता करण्यास किंवा पूर्व-गणित केलेल्या सारण्या वापरण्यास अनुमती देते. शिवाय, जर हॅश अल्गोरिथम जलद असेल आणि डेटा अखंडतेसाठी डिझाइन केलेले असेल (जसे की साधे SHA-256), तर ते मोठ्या प्रमाणात क्रूर-फोर्स हल्ल्यांना अधिक असुरक्षित बनते.
सॉल्टिंग ही कमकुवतपणा दूर करण्यासाठीच येते: ती म्हणजे पासवर्डमध्ये यादृच्छिक डेटा जोडा हॅश करण्यापूर्वी. याचा परिणाम असा होतो की जरी दोन वापरकर्ते पासवर्ड म्हणून "casa" निवडले तरी डेटाबेसमधील हॅश पूर्णपणे वेगळे असतील, कारण एकामध्ये, उदाहरणार्थ, "casa+7Ko#" आणि दुसऱ्यामध्ये "casa8p?M" प्री-हॅश स्ट्रिंग म्हणून असेल.
अशाप्रकारे, हॅशिंग आणि सॉल्टिंग स्पर्धा करत नाहीत, उलट एकमेकांना पूरक आहेत. हॅशिंग प्रदान करते एकदिशात्मकता गुणधर्म आणि पडताळणीची सोय; मीठ प्रदान करते मोठ्या हल्ल्यांविरुद्ध वेगळेपणा आणि लवचिकतासुरक्षित पासवर्ड स्टोरेज अंमलबजावणी दोन्ही तंत्रांना एकत्र करते, आदर्शपणे या उद्देशासाठी डिझाइन केलेले अल्गोरिथम वापरून, कॉन्फिगर करण्यायोग्य खर्चासह.
mkpasswd सह Linux मध्ये सॉल्ट वापरणे
GNU/Linux वातावरणात आणि इतर प्रणालींमध्ये युनिक्ससॉल्टिंगचा प्रयोग करण्याचा एक अतिशय व्यावहारिक मार्ग म्हणजे साधन एमकेपासडब्ल्यूडीही कमांड जनरेट करण्यासाठी वापरली जाते कूटबद्ध केलेले संकेतशब्द सुरक्षितपणे, आणि सामान्यतः वापरकर्ता निर्मिती प्रक्रिया, प्रशासन स्क्रिप्ट इत्यादींमध्ये एकत्रित केले जाते.
mkpasswd चा मूलभूत वाक्यरचना तुम्हाला एन्क्रिप्ट करायचा पासवर्ड आणि अल्गोरिथमचा प्रकार (उदाहरणार्थ, des, md5, sha-256, sha-512) या पर्यायाचा वापर करून पर्यायांची मालिका निर्दिष्ट करण्याची परवानगी देतो. -mआधुनिक प्रणालींमध्ये, योग्य गोष्ट म्हणजे निवड करणे SHA-512 कमीत कमी, किंवा वितरण त्यांना समर्थन देत असल्यास आणखी मजबूत योजनांद्वारे.
सॉल्टिंगच्या संदर्भात विशेषतः मनोरंजक पर्याय म्हणजे -S, जे परवानगी देते मीठ घाला. पासवर्ड एन्क्रिप्ट करण्यापूर्वी तो प्रविष्ट करा. जर मॅन्युअली निर्दिष्ट केले नसेल, तर mkpasswd एक जनरेट करू शकते प्रत्येक अंमलबजावणीमध्ये यादृच्छिक मीठजेणेकरून समान लॉगिन पासवर्ड वापरुनही, परिणामी हॅश प्रत्येक वेळी वेगळा असेल.
हे सहजपणे पडताळता येते: जर तुम्ही "password123" ला mkpasswd वापरून SHA-512 आणि रँडम सॉल्ट वापरून अनेक वेळा एन्क्रिप्ट केले तर तुम्हाला पूर्णपणे भिन्न हॅश मिळतील. तथापि, जर तुम्ही -S वापरून समान सॉल्ट व्हॅल्यू पास केली तर हॅश नेहमीच एकसारखा राहील, कारण पासवर्ड + सॉल्ट कॉम्बिनेशन बदलत नाही.
या साधनामुळे ते खूप सोपे आहे मीठाने एन्क्रिप्ट केलेले पासवर्ड तयार करा कॉन्फिगरेशन फाइल्समध्ये जोडण्यासाठी, वापरकर्त्यांना मॅन्युअली व्यवस्थापित करण्यासाठी किंवा काहीही प्रोग्राम न करता सॉल्टिंग वर्तन चाचणी करण्यासाठी.
सर्वसाधारणपणे बाइट्स आणि तंत्रज्ञानाच्या जगाबद्दल उत्कट लेखक. मला माझे ज्ञान लेखनाद्वारे सामायिक करणे आवडते, आणि तेच मी या ब्लॉगमध्ये करेन, तुम्हाला गॅझेट्स, सॉफ्टवेअर, हार्डवेअर, तांत्रिक ट्रेंड आणि बरेच काही याबद्दलच्या सर्व मनोरंजक गोष्टी दाखवणार आहे. माझे ध्येय तुम्हाला डिजिटल जगामध्ये सोप्या आणि मनोरंजक मार्गाने नेव्हिगेट करण्यात मदत करणे आहे.