Loading AI tools
De Wikipédia, l'encyclopédie libre
passwd est une commande disponible sur la plupart des systèmes d'exploitation Unix et de type Unix permettant à un utilisateur de changer son mot de passe. passwd est aussi le nom du fichier qui contenait les mots de passe sur ces mêmes systèmes.
Le nouveau mot de passe entré par l'utilisateur est traité par une fonction de dérivation de clé pour créer une version hachée du nouveau mot de passe. C'est cette version hachée qui est enregistrée par le serveur. Seule la version hachée est conservée ; le mot de passe saisi par l'utilisateur n'est pas sauvegardé pour des raisons de sécurité.
Lorsque l'utilisateur se connecte au serveur, le mot de passe saisi par l'utilisateur pendant le processus de connexion est traité par la même fonction de dérivation de clé et la version hachée résultante est comparée à la version sauvegardée. Si les hachages sont identiques, le mot de passe saisi est considéré comme correct et l'utilisateur est authentifié. En théorie, il est possible que deux mots de passe différents produisent le même hachage. Cependant, les fonctions de hachage cryptographiques utilisées comme fonction de dérivation de clé sont conçues de telle sorte que trouver un mot de passe qui produit le même hachage est très difficile et pratiquement impossible, donc si le hachage produit correspond au mémorisé, l'utilisateur peut être authentifié.
La commande passwd peut être utilisée pour changer les mots de passe des comptes locaux, et sur la plupart des systèmes, elle peut également être utilisée pour changer les mots de passe gérés dans un mécanisme d'authentification distribué tel que NIS, Kerberos ou LDAP.
# passwd autre_compte
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Le fichier /etc/passwd
est une base de données textuelle d'informations sur les utilisateurs qui peuvent se connecter au système.
Le nom du fichier provient de l'une de ses fonctions initiales qui était de contenir les données utilisées pour vérifier les mots de passe des comptes d'utilisateurs. Toutefois, sur les systèmes Unix modernes, les mots de passe sont enregistrés dans un autre fichier et ils y sont enregistrés dans une forme hashée.
Le fichier /etc/passwd
possède généralement des autorisations qui lui permettent d'être lu par tous les utilisateurs du système (lisibles dans le monde), bien qu'il ne puisse être modifié que par l'utilisateur root ou par certaines commandes spéciales.
Le fichier /etc/passwd
est un fichier texte, chaque enregistrement décrivant un compte d'utilisateur. Chaque enregistrement se compose de sept champs séparés par un deux-points. L'ordre des enregistrements dans le fichier est généralement sans importance.
Voici un exemple d'un enregistrement :
jsmith:x:1001:1000:Joe Smith,Room 1007,(234)555-8910,(234)5550044,email:/home/jsmith:/bin/sh
Les champs, de gauche à droite, sont[1] :
Le fichier /etc/shadow
est utilisé pour augmenter le niveau de sécurité des mots de passe. Le fichier contient une version hashée des mots de passe et seuls des utilisateurs très privilégiés peuvent y avoir accès. Généralement, ces données sont conservées dans des fichiers appartenant à l'utilisateur root et seulement accessibles par lui.
Les administrateurs système peuvent réduire la probabilité d'attaques par force brute en rendant les mots de passe hachés non accessibles par les utilisateurs non privilégiés. Une façon simple de le faire est de rendre le fichier /etc/passwd
accessible uniquement par l'utilisateur root. Cependant, cela restreindrait l'accès à d'autres données du fichier telles que les mappages des noms d'utilisateur vers les identifiants d'utilisateur, ce qui forcerait la reprogrammation de nombreux programmes et utilitaires.
Une meilleure solution est la création d'un fichier shadow pour contenir les hachages des mots de passe séparément des autres données du fichier passwd qui est accessible à un grand nombre d'utilisateurs. Ce fichier est le fichier /etc/shadow
sur les systèmes Linux et Unix, ou le fichier /etc/master.passwd
sur les systèmes BSD. Ces fichiers ne sont lisibles que par l'utilisateur root. (L'accès aux mots de passe hashés par l'utilisateur root est considéré comme acceptable étant donné que sur les systèmes dotés du modèle traditionnel de sécurité « avec utilisateur tout-puissant », l'utilisateur root pourrait, de toute façon, obtenir l'information d'une autre manière). Pratiquement tous les systèmes d'exploitation récents de type Unix utilisent des mots de passe hachés et cachés dans un fichier shadow.
L'utilisation d'un fichier de mots de passe hachés et cachés ne bloque pas complètement l'accès d'un attaquant aux mots de passe hachés, car certains systèmes d'authentification réseau fonctionnent en transmettant le mot de passe haché sur le réseau (parfois en texte clair, par exemple Telnet[3]), le rendant vulnérable aux interceptions. Les copies de données système, telles que les sauvegardes système écrites sur bande magnétique ou sur disque optique, peuvent également devenir un moyen d'obtenir illégalement des mots de passe hachés. En outre, les fonctions utilisées par les programmes légitimes de vérification des mots de passe doivent être rédigées de manière que les programmes malveillants ne puissent pas effectuer un grand nombre de contrôles d'authentification en une courte période de temps.
Peu importe que le masquage du mot de passe soit implanté sur un système donné, le fichier passwd doit être lisible par tous les utilisateurs pour que certains utilitaires fonctionnent (par exemple, pour que l'utilitaire ls puisse afficher les noms des propriétaires des fichiers d'un dossier). Cela signifie que, si le masquage n'est pas implanté, un attaquant avec accès non privilégié au système peut obtenir la forme hachée du mot de passe de tous les utilisateurs.
Les formes hachées des mots de passe peuvent être utilisées pour monter une attaque par force brute hors ligne, testant les mots de passe possibles contre les mots de passe hachés relativement rapidement sans alerter les dispositifs de sécurité du système conçus pour détecter un nombre anormal de tentatives de connexion infructueuses. Surtout quand le hachage n'est pas salé, il est également possible de rechercher ces mots de passe hachés dans des rainbow tables, des bases de données spécialement conçues pour trouver un mot de passe à partir de sa forme hachée.
Lorsque le masquage du mot de passe est utilisé, le fichier /etc/passwd
affiche généralement un caractère tel que «*» ou «x» dans le champ du mot de passe de chaque utilisateur au lieu du mot de passe haché et le fichier /etc/shadow
contient habituellement les éléments suivants pour chaque utilisateur :
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.