Sto cercando di capire come Linux blocca le loro password, quindi per iniziare lasciami fare questo openssl passwd -1 -salt xyz test . Questo produrrà: $1$xyz$jAlmRpcFe.aiPOIXET9GG/ . Ora quello che capisco:
$1$ è l'algoritmo md5 xyz$ è il sale utilizzato con un segno $ aggiunto ad esso jAlmRpcFe.aiPOIXET9GG/ è l'hash della password effettiva con md5 e qualcos'altro. L'ultima parte è ciò che non capisco, cos'altro viene calcolato con questo hash?
Poul-Henning Kamp designed a baroque and (at the time) computationally expensive algorithm based on the MD5 message digest algorithm. ...
First the passphrase and salt are hashed together, yielding an MD5 message digest. Then a new digest is constructed, hashing together the passphrase, the salt, and the first digest, all in a rather complex form. Then this digest is passed through a thousand iterations of a function which rehashes it together with the passphrase and salt in a manner that varies between rounds. The output of the last of these rounds is the resulting passphrase hash.
Questo ti dice che non è solo un hash (singolo) di pw + salt, ma non è molto preciso. Fortunatamente OpenSSL è open source, quindi link (o app / passwd.c in qualsiasi copia di qualsiasi versione della fonte che è stata disponibile per decenni) mostra l'algoritmo esatto. È davvero barocco, più di quanto mi preoccupi di cercare di spiegare, a meno che tu non abbia una domanda specifica a riguardo.