Bảo vệ mật khẩu của bạn ngay tại hệ thống

Bảo vệ mật khẩu của bạn ngay tại hệ thống : trang này đã được đọc lần Mật khẩu trên hệ thống *nix được lưu trong file /etc/passwd, một file chứa các tên người sử dụng, UIDs, GIDs, và các mật khẩu được mã hoá cho người sử dụng trên hệ thống.
Nội dung trích xuất từ tài liệu:
Bảo vệ mật khẩu của bạn ngay tại hệ thốngBảo vệ mật khẩu của bạn ngay tại hệ thống :trang này đã được đọc lầnMật khẩu trên hệ thống *nix được lưu trong file /etc/passwd, một filechứa các tên người sử dụng, UIDs, GIDs, và các mật khẩu được mãhoá cho người sử dụng trên hệ thống. Ngoài ra, file này còn lưu cácthông tin khác, như tên đầy đủ của người sử dụng, đường dẫn thưmục, hay hệ thống shell.Bất kỳ ai truy cập hệ thống cũng có thể hiển thị nội dung củafile /etc/passwd. Điều này tạo ra khả năng phá hoại với các user vànhững kẻ tấn công có thể tạo ra các lỗ hổng bảo mật để nhận đượcmột bản sao của file mật khẩu này.Các hệ thống *.nix thường sử dụng thuật toán mã hoá (như thuậttoán DES) để tạo ra các bảng băm mật khẩu. DES sử dụng thuậttoán mã hoá 56 bit. Với thuật toán này, DES đã được sử dụng nhưthuật toán mã hoá phổ biến trước đây. Tuy nhiên, theo thời gian, khiphần cứng phát triển và giá thành thiết bị rẻ đi, thuật toán này đã trởnên dễ dàng giải mã và tạo lại mã. Vì vậy, với các hệ thống tốc độnhanh sẽ việc crack các mật khẩu không phải quá khó.Ví dụ: l0phtCrack có thể sử dụng để crack các mật khẩu củaWindows, chương trình crack của Alec Mufet có thể sử dụng để crackmật khẩu hệ thống *.nix. Việc phá mã đã được phát triển theo thờigian, được viết từ năm 1991 và hiện tại nó đã được phát triển đếnphiên bản 5.0a.Việc phá mã có thể được cấu hình để tương thích với bất kỳ môitrường nào; các file cấu hình có thể được sửa đổi hỗ trợ cho các địnhdạng file mật khẩu khác nhau, loại thuật toán mã hoá khác nhau, ...Việc phá mã sử dụng danh sách từ điển như nền tảng cho việc phámã; các file từ điển này cũng có thể được cấu hình lại một cách dễdàng. Nói chung, để liệt kê danh sách cấu trúc thư mục cho việc thửchương trình, bạn cũng có thể cấu hình tập từ điển hay các luật tạomã như một phần trong việc phá mã. Các luật này có thể bao gồmcác phương thức như gắn trước hay sau các ký tự vào các từ chuẩn,gấp đôi hay đảo ngược các từ, thay đổi các ký tự từ thường sang hoa..., hay thay thế một từ này bằng một từ khác.Vậy làm cách nào để bảo vệ các mật khẩu trên hệ thống *.nix trongkhi file /etc/passwd là file có thể đọc và sự phát triển ồ ạt của cáccông cụ crack mật khẩu.Tăng tính an toàn của mật khẩuMột vài phương thức cải thiện mật khẩu đã được thực hiện chophương thức an toàn mật khẩu trong hệ thống *.nix. Đầu tiên đượcgiới thiệu là loại mật khẩu bóng (shadow password). Việc chứa cácbảng băm mật khẩu trong file đọc được /etc/passwd không an toàn,vì vậy các bảng băm này được đưa vào trong một file riêng rẽ, file/etc/shadow. File này chỉ có thể đọc bởi quyền root và vì vậy có khảnăng bảo mật tốt hơn. Hai file này được sử dụng cùng nhau để cungcấp việc chứng thực cho user.Các file mật khẩu bóng đã trở nên thông dụng và được sử dụng mặcđịnh cho rất nhiều hệ thống *.nix như Sun Solaris. Tuy nhiên, chúngkhông phải là mặc định của toàn bộ các hệ thống. Chẳng hạn với RedHat Linux, việc sử dụng mật khẩu bóng được lựa chọn trong cácbước cài đặt hệ thống. Các mật khẩu bóng nên được sử dụng ở bấtcứ đâu trong hệ thống.Thứ hai, một số phiên bản của *.nix hiện tại cung cấp thuật toán mãhoá tốt hơn, (có thể sử dụng tuỳ chọn trong mã hoá), sử dụng thuậttoán bảng băm MD5 thay thế cho DES.Thứ ba, các chính sách mật khẩu, như được thảo luận trong cácbài viết trước, có thể tăng tính bảo mật bằng cách đòi hỏi độ dài tốithiếu cho mật khẩu, thay đổi mật khẩu đều đặn,... Các tuỳ chọn nàycó sẵn và phụ thuộc vào hệ thống *.nix và phiên bản của passwdtrên hệ thống của bạn.Passwd là lệnh mặc định sử dụng cho việc thay đổi mật khẩu trêncác hệ thống *.nix. Lệnh này cũng hỗ trợ việc kiểm tra tính an toàntối thiếu đối với các mật khẩu của người sử dụng nhưng không hỗ trợtính năng đòi hỏi người sử dụng thay đổi mật khẩu của họ sau mộtkhoảng thời gian. Ví dụ lệnh passwd trong Sun Solaris hỗ trợ tínhnăng trên, và cũng tạo ra các kiểm tra sau: Độ dài tối thiểu, mà nhà quản trị có thể chỉ định (mặc định là 6  ký tự). Chú ý rằng bất chấp độ dài mật khẩu, chỉ có 8 ký tự đầu được xem cho mục đích chứng thực. Phải chứa ít nhất 2 ký tự (hoa hoặc thường) và một số hay biểu  tượng. Không thể là tên, đảo ngược tên truy cập hệ thống, hay bất cứ  việc dịch chuyển ký tự từ tên truy cập hệ thống. Các mật khẩu mới phải có ít nhất 3 ký tự khác so với mật khẩu  cũ.npasswd, được viết bởi Clyde Hoover, thực hiện các kiểm tra sau: Kiểm tra từ vựng (độ dài tối thiểu); không cho phép các ký tự  lặp lại hay các mẫu mật khẩu thông thường như các con số thường gặp; đòi hỏi mật khẩu là sự pha trộn giữa con số, ký tự, biểu tượng Kiểm tra file passwd (không cho phép lấy thông tin từ file  passwd). Kiểm tra từ điển (không cho phép các mật khẩu được tạo từ  các từ được tìm thấy trong các file từ điển cấu hình). Kiểm tra thời điểm (tuỳ chọ ...