/etc/shadow를 보면 정확히 동일한 솔트와 해시(및 비밀번호)를 사용하는 여러 사용자를 볼 수 있습니다.
시스템이 어떻게 이렇게 됐나요? 이는 비밀번호가 passwd(passwd 무작위 소금을 통해) 생성되지 않았음을 의미합니까? 이것이 특히 나쁜가요?
답변1
passwd무작위 솔트를 사용하거나 생성하여 비밀번호를 설정하면 chpasswd동일한 비밀번호를 가진 사용자가 동일한 해시를 갖지 않게 됩니다. 이런 방식으로 동일한 해시 값을 얻으려면 재부팅 사이에 엔트로피를 저장하지 않는 잘못 구성된 시스템이 있어야 하며 시스템이 너무 동일하여 무작위 시드가 반복되어야 합니다(이는 특히 가상 머신에서 발생할 수 있음). 스냅샷에서 복원할 때), 에서 정확히 동일한 바이트 수를 읽은 후 모든 비밀번호가 생성됩니다 /dev/urandom. 이것은 거의 불가능합니다.
따라서 동일한 해시가 표시되면 해시가 복사되었음을 의미합니다. 우연히 같은 비밀번호를 여러 번 설정하는 것이 아니라 일부러 동일하게 비밀번호를 설정합니다. 관리자는 비밀번호 데이터베이스를 직접 편집하고 해시를 복사하거나 유사한 방법을 사용하여 chpasswd -e해시를 제공할 수 있습니다.
중복된 비밀번호 해시의 유일한 나쁜 결과는 계정이 동일한 비밀번호를 가지고 있다는 것이 명백해진다는 것입니다. 일반적으로 다른 솔트의 경우와 마찬가지로 비밀번호를 추측하는 것 외에는 두 계정의 비밀번호가 동일한지 확인하는 것이 불가능합니다.