Activar "password hasshes" robustas

03/09/2014

Activar "password hasshes" robustas

Hace ya tiempo que almacenar passords utilizando MD5 (de DES y similares ni hablamos) puede no resultar tan seguro como deseamos. Por ello la utilización de algoritmos más robustos, como sha512, se vuelve una necesidad.

Un par de notas para realizar el cambio en entornos AIX y Linux.

AIX

• Activamos en /etc/security/login.cfg el uso del algoritmo ssha512 utilizando la directiva pwd_algorithm = ssha512:

/usr/bin/chsec -f /etc/security/login.cfg -s usw -a pwd_algorithm=ssha512

Requerimientos

Se requiere AIX 5.3 TL7 o superior.

Compatibilidad con hasses md5 de Linux

Puede ocurrir que queramos poder introducir hasses MD5 en formato linux, para por ejemplo, automatizar el cambio de passwords en ciertos scripts, para lo que configuraremos en /etc/security/pwdalg.cfg las opciones lpa_options = std_hash=true para smd5

/usr/bin/chsec -f /etc/security/pwdalg.cfg -s smd5 -a 'lpa_options = std_hash=true'

• Con ésto podremos asignar contraseñas utilizando md5 utilizando:

echo 'user01:{smd5}if98LvY7$/d591jkGTv915SqkojyWs.'|/usr/bin/chpasswd -e

• En linux el comando es ligeramente diferente, aunque el hash no cambie:

echo 'user01:$1$if98LvY7$/d591jkGTv915SqkojyWs.'|/usr/bin/chpasswd -e

Linux

Cada distribución tiene sus "peculiaridades".

Red Hat

Se cambia el algoritmo colocando el parámetro PASSWDALGORITHM=sha512 en el fichero /etc/sysconfig/authconfig:

/usr/sbin/authconfig --passalgo=sha512 --update

Referencias

http://www-01.ibm.com/support/docview.wss?uid=isg3T1010741