Bagaimana cara membuat kata sandi hash SHA-512 untuk bayangan?

Pertanyaan SF sebelumnya yang saya lihat mengarah ke jawaban yang menghasilkan kata sandi hash MD5.

Adakah yang punya saran untuk menghasilkan kata sandi hash SHA-512? Saya lebih suka satu liner daripada skrip tetapi, jika skrip adalah satu-satunya solusi, itu bagus juga.

Memperbarui

Mengganti versi py2 sebelumnya dengan yang ini:

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

Inilah satu kalimat:

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

Python 3.3+ termasuk mksaltdalam crypt , yang membuatnya lebih mudah (dan lebih aman) untuk digunakan:

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

Jika Anda tidak memberikan argumen untuk crypt.mksalt(bisa menerima crypt.METHOD_CRYPT, ...MD5, SHA256, dan SHA512), ia akan menggunakan tersedia terkuat.

ID hash (angka setelah yang pertama $) terkait dengan metode yang digunakan:

• 1 -> MD5
• 2a -> Blowfish (bukan di mainline glibc; ditambahkan di beberapa distribusi Linux)
• 5 -> SHA-256 (sejak glibc 2.7)
• 6 -> SHA-512 (sejak glibc 2.7)

Saya akan merekomendasikan Anda mencari apa itu garam dan semacamnya dan sebagai perberi kecil berkomentar perbedaan antara enkripsi dan hashing.

Pembaruan 1: String yang dihasilkan cocok untuk skrip shadow dan kickstart. Pembaruan 2: Peringatan. Jika Anda menggunakan Mac, lihat komentar tentang menggunakan ini dalam python di mac yang sepertinya tidak berfungsi seperti yang diharapkan.

Di Debian Anda dapat menggunakan mkpasswd untuk membuat kata sandi dengan algoritma hashing berbeda yang cocok untuk / etc / shadow. Itu sudah termasuk dalam paket whois (sesuai dengan apt-file)

mkpasswd -m sha-512
mkpasswd -m md5

untuk mendapatkan daftar tipe algoritme hashing yang tersedia:

mkpasswd -m help 

HTH

Jawaban Terbaik: grub-crypt

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

Berikut adalah kode C pendek untuk menghasilkan kata sandi SHA-512 pada berbagai OS tipe Unix.

Mengajukan: passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

untuk mengkompilasi:

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

pemakaian:

passwd-sha512 <password> <salt (16 chars max)>

Solusi Perl one-liner untuk menghasilkan kata sandi hash SHA-512:

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

Bekerja di RHEL 6

Mengapa tidak melakukan pemeriksaan dan modifikasi berikut untuk mesin Centos / RHEL untuk memastikan bahwa semua hashing kata sandi untuk / etc / shadow dilakukan dengan sha512. Kemudian Anda bisa mengatur passworkd Anda secara normal dengan perintah passwd

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

Berikut ini adalah satu-liner yang menggunakan perintah shell untuk membuat kata sandi hash SHA-512 dengan garam acak:

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $ (openssl rand -base64 16 | tr -d '+ =' | head -c 16)

Catatan

1. Anda mungkin perlu menginstal paket "whois" (Debian, SuSE, dll.), Yang menyediakan "mkpasswd".
2. Lihat crypt (3) untuk detail tentang format baris di "/ etc / shadow".

Baca komentar di bawah untuk mempelajari implikasi keamanan dari jawaban ini

Bagi mereka yang memiliki pola pikir Ruby di sini adalah one-liner:

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

Skrip ini berfungsi untuk saya di Ubuntu 12.04 LTS: https://gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

Ini memiliki fitur berikut yang tidak dimiliki oleh beberapa alternatif lain:

• Ini menghasilkan garamnya dengan aman. Tidak seorang pun harus mengandalkan melakukan ini secara manual. Pernah.
• itu tidak menyimpan apa pun dalam riwayat shell.
• untuk kejelasan, ini mencetak kata sandi pengguna mana yang dihasilkannya yang bagus ketika menghasilkan kata sandi banyak pengguna.

HASH algos adalah untuk memproduksi intisari PESAN, mereka tidak pernah cocok untuk kata sandi, yang harus menggunakan semacam HKDF ( http://tools.ietf.org/rfc/rfc5869.txt ) - lihat PBKDF2 atau BCrypt

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

Anda dapat mengkloningnya dari repo github saya jika Anda mau: https://github.com/antoncohen/mksha

Ini bukan liner satu, tetapi mungkin membantu seseorang:

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

Jelas, Anda hanya mengambil bidang ke-2, dan dapat menghapus file setelah Anda menambahkannya ke bayangan atau untuk digunakan dengan sudo (masih kemungkinan besar bayangan).

Lihatlah halaman manual untuk crypt (3) dan saya pikir Anda akan menemukan bahwa alat crypt telah diperbarui untuk menggunakan glibc dan sha256 ($ 5) dan sha512 ($ 6), beberapa putaran, garam lebih besar, dan sebagainya .

Jelas SHA512 relevan dengan cara / etc / shadow bekerja.

Yang mengatakan, halaman web ini sangat membantu - khususnya MKPASSWD, karena ini memecahkan masalah SAYA.

Mengingat kemungkinan kata sandi "hilang", saya dapat menggunakan MKPASSWD dan garam, untuk menghasilkan hash SHA512, dan mengonfirmasi / menolak daftar kata sandi kandidat.

Saya akan menggunakan John the ripper - tetapi setidaknya pada perangkat keras saya (Raspberry Pi) dan anggaran saya (tidak ada) - John tidak dapat melakukannya (sepertinya tidak mendukung hal-hal crypt / glibc yang canggih dalam versi gratis raspbian.

Pikiran Anda, karena saya memiliki cukup izin untuk membaca / menulis / etc / shadow, saya BISA hanya menimpa hash, dan melanjutkan hidup ... ini adalah latihan akademis.

CATATAN Glibc notes Versi glibc2 dari fungsi ini mendukung algoritma enkripsi tambahan.

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

Jika Anda membutuhkan alternatif untuk one-liner yang ditulis dengan perl / python, mkpasswd adalah pasangan yang baik. Meskipun termasuk dalam paket whois Debian, itu tidak ada pada sistem CentOS / RHEL. Saya telah memodifikasi versi Debian dari mkpasswd dan menyertakan mekanisme pembuatan garam yang lebih kuat berdasarkan OpenSSL. Biner yang dihasilkan sepenuhnya mempertahankan semua parameter baris perintah versi Debian. Kode ini tersedia pada github dan harus dikompilasi pada setiap rasa Linux: mkpasswd

Saya tidak yakin bagaimana kaitannya dengan SHA-512 /etc/shadow. Kata sandi ini crypted.

Tetapi jika Anda ingin kata sandi di-hash dengan SHA-512, Anda dapat melakukannya dengan echo -n the_password | sha512sum. Anda tidak dapat menggunakan output untuk / etc / shadow.