Veröffentlichung von passwdqc 2.0.0 mit Unterstützung für externe Filter

Eine neue Version von passwdqc wurde veröffentlicht – ein Toolset zur Überprüfung der Komplexität von Passwörtern und Passwortsätzen, das das Modul pam_passwdqc, die Programme pwqcheck, pwqfilter (neu in dieser Version) und pwqgen für die manuelle Nutzung oder in Skripten sowie die Bibliothek libpasswdqc umfasst. Sowohl Systeme mit PAM (die meisten Linux-Distributionen, FreeBSD, DragonFly BSD, Solaris, HP-UX) als auch Systeme ohne PAM werden unterstützt (es gibt eine Unterstützung für das passwordcheck-Interface in OpenBSD, eine Anbindung für die Nutzung von pwqcheck aus PHP sowie eine kostenpflichtige Version für Windows, und die Programme sowie die Bibliothek können ebenfalls auf anderen Systemen verwendet werden).

Im Vergleich zu früheren Versionen wurde die Unterstützung für externe Passwortfilterdateien hinzugefügt, einschließlich binärer Dateien, die derzeit die Umsetzung eines verbesserten Kuckucksfilters darstellen. Ein solcher Filter gewährleistet, dass kein verbotener Passwort durchkommt, kann jedoch gelegentlich zu Fehlalarmen führen, deren Wahrscheinlichkeit bei den in passwdqc verwendeten Einstellungen und dem Algorithmus vernachlässigbar gering ist. Die Passwortprüfung auf Vorhandenheit im Filter erfordert nicht mehr als zwei zufällige Lesezugriffe von der Festplatte, was sehr schnell erfolgt und in der Regel keine übermäßige Belastung verursacht. Server.

Zur Erstellung und Handhabung von binären Filtern in passwdqc wurde das Programm pwqfilter hinzugefügt. Es kann einen Filter sowohl aus einer Liste von Passwörtern als auch aus ihren MD4- oder NTLM-Hashes erstellen. Die Unterstützung von NTLM-Hashes ermöglicht den Import von Passwörtern aus der HIBP-Liste (Pwned Passwords), die in dieser Form verbreitet wird. Bei der Optimierung von pwqfilter hinsichtlich Geschwindigkeit, Kompaktheit der generierten Filter und der Rate von Fehlalarmen wurde viel Mühe investiert. Zum Beispiel dauert die Erstellung eines Cuckoo-Filters mit einer Auslastung von 98 % aus der Datei pwned-passwords-ntlm-ordered-by-hash-v7.txt, die 21 GiB (22 GB) groß ist und über 613 Millionen Zeilen enthält, etwa 8 Minuten auf einem Core i7-4770K-Prozessor. Der resultierende Filter benötigt 2,3 GiB (2,5 GB) und hat eine Fehlalarmrate von etwa 1 auf 1,15 Milliarden. Bei einer geringeren Zieldichte kann der Filter wesentlich schneller erstellt werden und hat eine noch niedrigere Fehlalarmquote, allerdings wird er dafür größer ausfallen.

passwdqc verhindert effektiv schwache Passwörter, ohne dass externe Dateien erforderlich sind. Der Einsatz solcher Dateien kann die Effizienz von passwdqc weiter steigern, ohne den Benutzern nennenswerte zusätzliche Schwierigkeiten zu bereiten, oder es können andere Einschränkungen gelockert werden. Die Überprüfung von Passwörtern auf bekannte Leaks wird von NIST empfohlen. Für das Openwall-Projekt stellt dies eine potenzielle Möglichkeit zur Finanzierung der Entwicklung von passwdqc (und nicht nur) durch den Verkauf vorgefertigter Filter dar, ohne dass die Nutzer daran gehindert werden, ihre eigenen Filter mithilfe des unter einer freien Lizenz veröffentlichten Programms pwqfilter zu erstellen.

pwqfilter arbeitet mit beliebigen Zeichenfolgen und kann in vielen Fällen, selbst außerhalb von Passwörtern und Sicherheit, anstelle von grep eingesetzt werden. In diesem Sinne bietet pwqfilter mehrere Optionen, die den in grep vorhandenen ähnlich sind, vermeidet jedoch die Verwendung von Optionsnamen, die mit denen in grep in Konflikt stehen würden, und verwendet die gleichen Rückgabecodes wie grep.

Für Aufgaben, bei denen falsche Alarmierungen absolut unerwünscht sind, kann ihr Niveau auf beispielsweise eine pro Quintillion (eine Milliarde Milliarden) bei einer Auslastung von bis zu 44 % gesenkt werden. (Der klassische Cuckoo-Filter erreicht bei einer Reduzierung des Auslastungskoeffizienten nicht solch eine signifikante Senkung der falschen Alarmierungen. In passwdqc wird dies durch Verbesserungen des Algorithmus erreicht).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster