Megjelent a passwdqc új verziója, amely egy eszközkészlet a jelszavak és jelszavak összetettségének figyelésére. Tartalmazza a pam_passwdqc modult, a pwqcheck, a pwqfilter (ebben a verzióban hozzáadva) és a pwqgen programokat manuálisan vagy szkriptekből, valamint a libpasswdqc könyvtárat. Támogatott rendszerek: PAM (a legtöbb Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), és PAM nélkül (az OpenBSD jelszó-ellenőrző felülete támogatott, a PHP-ből származó pwqcheck használatára szolgáló kötés benne van, van fizetős verzió a Windows, és a programok és a könyvtár más rendszereken is használhatók).
A korábbi verziókhoz képest támogatást kaptunk a külső jelszószűrő fájlokhoz, beleértve a bináris fájlokat is, amelyek jelenleg egy továbbfejlesztett kakukkszűrőt valósítanak meg. Ez a szűrő garantáltan nem engedi át a tiltott jelszavakat, de esetenként téves riasztásokat okozhat, amelyek valószínűsége elhanyagolható a passwdqc-ben használt beállítások és algoritmus miatt. Egy jelszó szűrőbe való felvételének ellenőrzése legfeljebb két véletlenszerű lemezolvasást igényel, ami nagyon gyors, és általában nem okoz túlzott terhelést. szerver.
A bináris szűrők létrehozásához és használatához a pwqfilter programot hozzáadtuk a passwdqc-hez. Létrehozhat egy szűrőt magukból a jelszavak listájából és azok MD4 vagy NTLM kivonataiból. Az NTLM-kivonatok támogatása lehetővé teszi jelszavak importálását az ezen az űrlapon terjesztett HIBP (Pwned Passwords) listából. Sok munkát fektettek be a pwqfilter optimalizálására a sebesség, az eredményül kapott szűrők tömörsége és a hamis pozitív értékek szintjére való tekintettel. Például egy 98%-os terhelési tényezőjű kakukkszűrő létrehozása egy 7 GiB (21 GB) méretű, több mint 22 millió sort tartalmazó pwned-passwords-ntlm-ordered-by-hash-v613.txt fájlból körülbelül 8 percet vesz igénybe Core i7-4770K-n. processzor . Az így kapott szűrő 2.3 GiB-ot (2.5 GB) foglal, és a téves pozitív arány körülbelül 1:1.15 milliárd. Kisebb célterhelési tényezővel a szűrő sokkal gyorsabban készíthető, és még alacsonyabb lesz a téves pozitív arány, de a mérete nagyobb lesz.
A passwdqc nagyon jó munkát végez, hogy nem engedi át a gyenge jelszavakat külső fájlok használata nélkül. Használatuk tovább javíthatja a passwdqc hatékonyságát anélkül, hogy további kényelmetlenséget okozna a felhasználóknak, vagy lehetővé teheti más korlátozások enyhítését. A NIST javasolja a felhasználó által kiválasztott jelszavak tesztelését az ismert szivárgások ellen. Az Openwall projekt számára ez egy potenciális lehetőség a passwdqc fejlesztésének finanszírozására (és nem csak) kész szűrők eladásán keresztül, anélkül, hogy korlátozná a felhasználók lehetőségét, hogy az ingyenes licenc alatt kiadott pwqfilter programmal saját maguk szűrőket hozzanak létre.
A pwqfilter tetszőleges karakterláncokon működik, és sokféle célra használható grep helyett, még akkor is, ha nem a jelszavakkal és a biztonsággal kapcsolatos. Ezt szem előtt tartva a pwqfilter számos, a grepben lévőhöz hasonló opcióval rendelkezik, nem használ olyan opcióneveket, amelyek ütköznének a grepben lévőkkel, és ugyanazokat a visszatérési kódokat használja, mint a grep.
Azoknál a feladatoknál, ahol a hamis pozitív eredmények rendkívül nemkívánatosak, szintjük például egy kvintimillionként (milliárd milliárdra) csökkenthető, akár 44%-os terhelési tényezővel. (A klasszikus kakukkszűrő a terhelési tényező csökkentésével nem biztosít ilyen jelentős csökkenést a hamis pozitív értékekben. A passwdqc-ben ez az algoritmus fejlesztéseinek köszönhetően érhető el).
Forrás: opennet.ru
