Është publikuar një version i ri i passwdqc — një grup mjetesh për kontrollin e kompleksitetit të fjalëkalimeve dhe frazave të fjalëkalimeve, që përfshin modulin pam_passwdqc, programet pwqcheck, pwqfilter (shtuar në këtë version) dhe pwqgen për përdorim manual ose nga skriptet, si dhe bibliotekën libpasswdqc. Mbështeten si sistemet me PAM (shumica e Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), ashtu edhe ato pa PAM (mbështetet ndërfaqja passwordcheck në OpenBSD, ofrohet një lidhje për përdorimin e pwqcheck nga PHP, ekziston një version me pagesë për Windows, dhe programet dhe biblioteka gjithashtu mund të përdoren në sisteme të tjera).
Në krahasim me versionet e kaluara, është shtuar mbështetje për skedarët e jashtëm të filtrimit të fjalëkalimeve, duke përfshirë ata binarë, të cilët aktualisht janë realizimi i filtrit të përmirësuar të kukushekës. Ky filtër garanton që nuk do të kalojë asnjë nga fjalëkalimet e ndaluara, por mund të sjellë ndonjëherë alarmet false, probabiliteti i të cilave është minimal me parametrat dhe algoritmin e përdorur në passwdqc. Kontrolli i fjalëkalimit për praninë në filtër kërkon jo më shumë se dy aksese të rastësishme për të lexuar nga disku, që është shumë i shpejtë dhe, në përgjithësi, nuk krijon ngarkesë të tepruar. serverit.
Për krijimin dhe funksionimin e filtreve binarë në passwdqc, është shtuar programi pwqfilter. Ai mund të krijojë një filtër si nga lista e fjalëkalimeve ashtu edhe nga hashes e tyre MD4 ose NTLM. Mbështetje për hashes NTLM lejon importimin e fjalëkalimeve nga lista HIBP (Fjalëkalimet e Përdorura), e shpërndarë në këtë formë. Është investuar shumë punë në optimizimin e pwqfilter për shkallën e performancës, kompaktësinë e filtreve të marra, si dhe nivelin e alarmeve false. Për shembull, krijimi i një filtri cuckoo me një koeficient ngarkese prej 98% nga skedari pwned-passwords-ntlm-ordered-by-hash-v7.txt me një madhësi prej 21 GiB (22 GB) dhe që përmban më shumë se 613 milion rreshta zgjat rreth 8 minuta në procesorin Core i7-4770K. Filtri që rezulton zë 2.3 GiB (2.5 GB) dhe ka një nivel alarmesh false rreth 1 në 1.15 miliard. Me një koeficient ngarkese më të ulët, filtri mund të krijohet shumë më shpejt dhe do të ketë një nivel alarmesh false edhe më të ulët, por madhësia e tij do të jetë më e madhe.
passwdqc përballon shumë mirë kërcënimin e fjalëkalimeve të dobëta pa përdorimin e skedarëve të jashtëm. Përdorimi i tyre mund të rrisë efektivitetin e passwdqc ende më shumë pa shkaktuar pothuajse asnjë shqetësim për përdoruesit, ose mund të lejojë lehtësimin e kufizimeve të tjera. Kontrolli i fjalëkalimeve që përdoruesit zgjedhin sipas shpërndarjeve të njohura rekomandohet nga NIST. Për projektin Openwall, kjo është një mundësi potenciale financimi për zhvillimin e passwdqc (dhe më shumë) përmes shitjes së filtreve të gatshme, pa e kufizuar përdoruesin në mundësinë e krijimit të filtreve vetjak duke përdorur programin pwqfilter të lirë.
pwqfilter funksionon me strings të rastësishme dhe mund të përdoret si një zëvendësim për grep për shumë qëllime, madje dhe ato që nuk lidhen me fjalëkalimet dhe sigurinë. Ndërsa marrim parasysh këtë, pwqfilter ka disa opsione të ngjashme me ato të grep, shmang përdorimin e emrave të opsioneve që do të ishin në kundërshtim me ato që ka grep dhe përdor kodet e njëjta të kthimit si grep.
Për detyrat ku falsifikimet janë jashtëzakonisht tëpadëshiruara, niveli i tyre mund të ulet, për shembull, deri në një në kvintilion (milijard miliardësh) me një koeficient ngarkese deri në 44%. (Filtri klasik i kukushit nuk ofron një ulje të tillë të dukshme të nivelit të falsifikimeve me uljen e koeficientit të ngarkesës. Në passwdqc, kjo arrihet përmes përmirësimeve në algoritëm).
Burimi: opennet.ru
