Bola vydaná nová verzia passwdqc, sady nástrojov na monitorovanie zložitosti hesiel a prístupových fráz. Obsahuje modul pam_passwdqc, programy pwqcheck, pwqfilter (pridané v tejto verzii) a pwqgen na manuálne použitie alebo zo skriptov, ako aj knižnicu libpasswdqc. Podporované sú systémy s PAM (väčšina Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX) a bez PAM (rozhranie na kontrolu hesiel v OpenBSD je podporované, súčasťou je aj väzba na použitie pwqcheck z PHP, existuje platená verzia pre Windowsa programy a knižnicu je možné použiť aj na iných systémoch).
V porovnaní s predchádzajúcimi verziami bola pridaná podpora pre externé súbory na filtrovanie hesiel, vrátane binárnych, ktoré v súčasnosti implementujú vylepšený filter typu „kukučka“. Tento filter zaručene neprepustí žiadne zakázané heslá, ale občas môže vygenerovať falošne pozitívne výsledky, ktorých pravdepodobnosť je vzhľadom na nastavenia a algoritmus použitý v passwdqc zanedbateľná. Kontrola hesla na zahrnutie do filtra nevyžaduje viac ako dve náhodné čítania z disku, čo je veľmi rýchle a vo všeobecnosti nevytvára nadmerné zaťaženie. server.
Na vytváranie a prácu s binárnymi filtrami bol do passwdqc pridaný program pwqfilter. Dokáže vytvoriť filter ako zo zoznamu samotných hesiel, tak aj z ich MD4 alebo NTLM hash. Podpora pre NTLM hash vám umožňuje importovať heslá zo zoznamu HIBP (Pwned Passwords) distribuovaného v tomto formulári. Veľa práce sa investovalo do optimalizácie pwqfilter na rýchlosť, kompaktnosť výsledných filtrov a tiež úroveň falošných poplachov. Napríklad vytvorenie kukučkového filtra 98 % faktora zaťaženia zo súboru 7 GiB (21 GB) pwned-passwords-ntlm-ordered-by-hash-v22.txt s viac ako 613 miliónmi riadkov trvá na Core i8-7K približne 4770 minút. procesor . Výsledný filter zaberá 2.3 GiB (2.5 GB) a má falošnú pozitivitu približne 1 z 1.15 miliardy. S menším cieľovým faktorom zaťaženia môže byť filter vytvorený oveľa rýchlejšie a bude mať ešte nižšiu mieru falošných pozitív, ale jeho veľkosť bude väčšia.
passwdqc robí veľmi dobrú prácu, pretože neprepúšťa slabé heslá bez použitia externých súborov. Ich použitie môže ešte viac zlepšiť účinnosť passwdqc s malými alebo žiadnymi dodatočnými nepríjemnosťami pre používateľov, alebo môže umožniť uvoľnenie iných obmedzení. NIST odporúča testovanie hesiel vybraných používateľom proti známym únikom. Pre projekt Openwall je to potenciálna príležitosť financovať vývoj passwdqc (nielen) prostredníctvom predaja hotových filtrov bez toho, aby bola obmedzená možnosť používateľov vytvárať filtre sami pomocou programu pwqfilter vydaného na základe bezplatnej licencie.
pwqfilter funguje na ľubovoľných reťazcoch a možno ho použiť namiesto grep na mnohé účely, dokonca aj tie, ktoré nesúvisia s heslami a bezpečnosťou. S ohľadom na to má pwqfilter niekoľko možností podobných tým v grep, vyhýba sa používaniu názvov možností, ktoré by boli v konflikte s tými v grep, a používa rovnaké návratové kódy ako grep.
Pri úlohách, kde sú falošné poplachy vysoko nežiaduce, možno ich úroveň znížiť napríklad na jednu za kvintilión (miliardy miliárd) s faktorom vyťaženia až 44 %. (Klasický kukučkový filter neposkytuje také výrazné zníženie úrovne falošných poplachov pri znížení faktora zaťaženia. V passwdqc je to dosiahnuté vďaka zlepšeniam v algoritme).
Zdroj: opennet.ru
