섀도 용 SHA-512 해시 비밀번호를 만드는 방법은 무엇입니까?

이전에 본 SF 질문은 MD5 해시 암호를 생성하는 답변으로 이어졌습니다.

SHA-512 해시 비밀번호를 생성 할 사람이 있습니까? 스크립트 대신 하나의 라이너를 선호하지만 스크립트가 유일한 솔루션이라면 괜찮습니다.

최신 정보

이전 py2 버전을 다음으로 바꾸십시오.

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

하나의 라이너가 있습니다.

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

Python 3.3 이상에는 mksaltcrypt가 포함 되어 있어 훨씬 더 쉽고 안전하게 사용할 수 있습니다.

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

당신이 인수를 제공하지 않는 경우 crypt.mksalt(받아 들일 수 crypt.METHOD_CRYPT, ...MD5, SHA256,과 SHA512), 그것은 강한 사용할 수를 사용합니다.

해시의 ID (첫 번째 이후의 숫자 $)는 사용 된 방법과 관련이 있습니다.

• 1-> MD5
• 2a-> 복어 (주요 glibc에 없음; 일부 Linux 배포판에 추가됨)
• 5-> SHA-256 (glibc 2.7부터)
• 6-> SHA-512 (glibc 2.7부터)

나는 소금이 무엇인지 찾아 보는 것이 좋으며 smallclamgers에 따르면 암호화와 해싱의 차이점을 언급합니다.

업데이트 1 : 생성 된 문자열은 그림자 및 킥 스타트 스크립트에 적합합니다. 업데이트 2 : 경고. Mac을 사용하는 경우 Mac에서 예상대로 작동하지 않는 경우 Python에서이를 사용하는 것에 대한 의견을 참조하십시오.

데비안에서는 mkpasswd 를 사용하여 / etc / shadow에 적합한 다른 해싱 알고리즘으로 암호를 만들 수 있습니다 . 패키지 whois에 포함되어 있습니다 (apt-file에 따라).

mkpasswd -m sha-512
mkpasswd -m md5

사용 가능한 해싱 알고리즘 유형 목록을 얻으려면

mkpasswd -m help 

HTH

최고의 답변 : grub-crypt

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

다음은 다양한 Unix 유형 OS에서 SHA-512 비밀번호를 생성하는 간단한 C 코드입니다.

파일: passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

컴파일하기:

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

용법:

passwd-sha512 <password> <salt (16 chars max)>

SHA-512 해시 비밀번호를 생성하는 Perl one-liner 솔루션 :

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

RHEL 6 작업

/ etc / shadow에 대한 모든 비밀번호 해싱이 sha512를 사용하여 수행되도록 Centos / RHEL 시스템에 대해 다음 점검 및 수정을 수행하지 않겠습니까? 그런 다음 passwd 명령을 사용하여 패스 워크를 정상적으로 설정할 수 있습니다.

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

다음은 쉘 명령을 사용하여 임의 소금을 사용하여 SHA-512 해시 비밀번호를 작성하는 단일 라이너입니다.

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $ (openssl rand -base64 16 | tr -d '+ ='| head -c 16)

노트

1. "mkpasswd"를 제공하는 "whois"패키지 (Debian, SuSE 등)를 설치해야 할 수도 있습니다.
2. "/ etc / shadow"의 행 형식에 대한 자세한 내용은 crypt (3)를 참조하십시오.

이 답변의 보안 영향에 대해 알아 보려면 아래 주석을 읽으십시오.

루비 사고 방식의 사람들을 위해 여기에 하나의 라이너가 있습니다.

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

이 스크립트는 Ubuntu 12.04 LTS에서 나를 위해 일했습니다 : https://gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

다른 대안 중 일부에는없는 다음 기능이 있습니다.

• 소금을 확실하게 생성합니다. 이 작업을 수동으로 수행해서는 안됩니다. 이제까지.
• 쉘 히스토리 에는 아무것도 저장하지 않습니다 .
• 명확하게하기 위해, 그것은 많은 사용자 암호를 생성 할 때 좋을 수있는 생성 된 사용자 암호를 인쇄합니다.

HASH algos는 MESSAGE 다이제스트를 생성하는 데 사용되며 HKDF를 사용해야하는 암호에는 적합하지 않습니다 ( http://tools.ietf.org/rfc/rfc5869.txt)-PBKDF2 또는 BCrypt 참조

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

원하는 경우 내 github 저장소에서 복제 할 수 있습니다 : https://github.com/antoncohen/mksha

하나의 라이너는 아니지만 누군가에게 도움이 될 수 있습니다.

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

분명히, 당신은 단지 두 번째 필드를 잡고, 파일을 그림자에 추가하거나 sudo와 함께 사용하기 위해 파일을 삭제할 수 있습니다 (여전히 그림자 일 가능성이 높습니다).

crypt (3) 매뉴얼 페이지를 살펴보면 glibc 및 sha256 ($ 5) 및 sha512 ($ 6), 여러 라운드, 훨씬 더 큰 소금 등을 사용하도록 암호화 도구가 업데이트되었다고 생각합니다. .

분명히 SHA512는 / etc / shadow의 작동 방식과 관련이 있습니다.

즉,이 웹 페이지는 내 문제를 해결했기 때문에 특히 MKPASSWD 매우 유용했습니다.

잠재적으로 "잃어버린"암호가 주어지면 MKPASSWD와 솔트를 사용하여 SHA512 해시를 생성하고 후보 암호 목록을 확인 / 거부 할 수 있습니다.

나는 리퍼 존을 사용하지만 적어도 내 하드웨어 (Raspberry Pi)와 예산 (아무것도하지 않음)에서 존을 할 수 없습니다 (Raspbian 무료 버전의 고급 crypt / glibc 항목을 지원하지 않는 것 같습니다.

/ etc / shadow를 읽고 쓸 수있는 충분한 권한이 있기 때문에 해시를 덮어 쓰고 삶을 살 수 있습니다. 이것은 학업적인 운동입니다.

참고 Glibc 참고이 기능의 glibc2 버전은 추가 암호화 알고리즘을 지원합니다.

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

perl / python으로 작성된 하나의 라이너에 대한 대안이 필요한 경우 mkpasswd가 적합합니다. 데비안 후이즈 패키지에 포함되어 있지만 CentOS / RHEL 시스템에는 없습니다. mkpasswd의 데비안 버전을 수정했으며 OpenSSL을 기반으로 더 강력한 솔트 생성 메커니즘을 포함 시켰습니다. 결과 바이너리는 데비안의 모든 버전 명령 행 매개 변수를 완전히 보존합니다. 코드는 github에서 사용 가능하며 모든 Linux 버전에서 컴파일해야합니다. mkpasswd

SHA-512의 관련성이 확실하지 않습니다 /etc/shadow. 이 비밀번호는 crypted입니다.

그러나 SHA-512로 해시 된 비밀번호를 원한다면으로 할 수 있습니다 echo -n the_password | sha512sum. / etc / shadow에는 출력을 사용할 수 없습니다.