Este es el comando heimdal-Strength que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
heimdal-Strength: control de calidad de la contraseña de Heimdal incrustando CrackLib
SINOPSIS
fuerza heimdal [directora]
DESCRIPCIÓN
fuerza heimdal es un programa externo de verificación de calidad de contraseñas para Heimdal que verifica
la fuerza de una contraseña. Las contraseñas se pueden probar con CrackLib, compararlas con un CDB
base de datos de contraseñas débiles conocidas, verificada por su longitud, verificada por no imprimibles o no
Caracteres ASCII que pueden ser difíciles de introducir de forma reproducible, deben contener
clases de caracteres particulares, o cualquier combinación de estas pruebas. Normalmente se ejecuta a través de
kpasswdd(8) utilizando la interfaz de verificación de calidad de la contraseña de Heimdal en lugar de hacerlo directamente.
Para utilizar este programa, debe estar configurado en krb5.conf a través de la configuración en "[appdefaults]"
para el nombre de la aplicación "krb5-Strength". Un escenario típico sería:
krb5-fuerza = {
password_dictionary = / usr / local / lib / kadmind / dictionary
}
que dice verificar las contraseñas con CrackLib usando la ruta dada como ruta base de la
Diccionario CrackLib. Consulte "CONFIGURACIÓN" a continuación para obtener detalles sobre la configuración admitida.
.
fuerza heimdal luego espera la información de verificación de calidad de la contraseña de Heimdal en el estándar
entrada, específicamente:
principal:
Nueva contraseña:
final
donde es el principal cuya contraseña se cambiaría y es el
Nueva contraseña. Si la contraseña parece segura, se imprime "APROBADO" en formato estándar.
salida y sale con un estado de 0. Si la contraseña se rechaza por ser demasiado débil,
imprimirá el motivo del rechazo de la contraseña en caso de error estándar y saldrá con un estado
de 0. Si ocurre algún error fatal, imprimirá ese error como error estándar y saldrá
con un estado distinto de cero.
CONFIGURACIÓN
Las siguientes krb5.conf las opciones de configuración son compatibles:
mínimo_diferente
Si se establece en un valor numérico, las contraseñas con menos de este número de caracteres únicos
será rechazado. Esto se puede utilizar para rechazar, por ejemplo, contraseñas que son largas
cadenas del mismo carácter o repeticiones de un pequeño número de caracteres, que pueden
ser demasiado fácil de adivinar.
longitud mínima
Si se establece en un valor numérico, las contraseñas con menos de ese número de caracteres serán
rechazado, independientemente de las restricciones de longitud en CrackLib. Tenga en cuenta que esta configuración
no omite los requisitos de longitud mínima en CrackLib.
contraseña_diccionario
Especifica la ruta base a un diccionario de CrackLib y habilita la prueba de seguridad de la contraseña
utilizando CrackLib. La ruta proporcionada debe ser la ruta completa a los archivos del diccionario,
omitiendo el final * .hwm, * .pwdy * .pwi extensiones para el diccionario CrackLib.
contraseña_diccionario_cdb
Especifica la ruta base a un diccionario CDB y habilita el diccionario de contraseñas CDB
búsquedas. La ruta debe apuntar a una base de datos en formato CDB cuyas claves sean las conocidas
contraseñas o palabras del diccionario. Los valores se ignoran. Puedes usar el
krb5-fuerza-lista de palabras utilidad para generar la base de datos CDB a partir de una lista de palabras.
Las búsquedas en el diccionario CDB no realizan la compleja manipulación de contraseñas que hace CrackLib.
En su lugar, la contraseña se comparará con el diccionario y luego
variaciones de la contraseña formadas al eliminar el primer carácter, el último carácter,
el primer y último carácter, los dos primeros caracteres y los dos últimos caracteres.
Si alguna de estas cadenas se encuentra en la base de datos de CDB, la contraseña será rechazada;
de lo contrario, será aceptado, al menos mediante este cheque.
Se pueden configurar un diccionario CrackLib, un diccionario CDB y un diccionario SQLite
al mismo tiempo o en cualquier combinación, en cuyo caso CrackLib se ejecutará primero,
seguido de CDB y luego SQLite según corresponda.
contraseña_diccionario_sqlite
Especifica la ruta base a un diccionario SQLite y habilita el diccionario de contraseñas SQLite
búsquedas. La ruta debe apuntar a una base de datos SQLite 3 con una tabla llamada "contraseñas".
Esta tabla debe tener dos columnas, "contraseña" y "drowssap", que, para cada
palabra del diccionario, contiene la palabra y la forma invertida de la palabra. Puedes usar el
krb5-fuerza-lista de palabras utilidad para generar la base de datos SQLite a partir de una lista de palabras.
Las búsquedas del diccionario SQLite no hacen la compleja manipulación de contraseñas que CrackLib
lo hace, pero detectarán y rechazarán cualquier contraseña que esté dentro de la distancia de edición uno de
una palabra en el diccionario, lo que significa que la palabra del diccionario se puede formar a partir de la
contraseña agregando, eliminando o modificando un solo carácter.
Se pueden configurar un diccionario CrackLib, un diccionario CDB y un diccionario SQLite
al mismo tiempo o en cualquier combinación, en cuyo caso CrackLib se ejecutará primero,
seguido de CDB y luego SQLite según corresponda.
require_ascii_imprimible
Si se establece en un valor booleano verdadero, rechaza cualquier contraseña que no contenga ASCII.
caracteres o caracteres de control ASCII. Se permiten espacios; las pestañas no lo son (al menos
asumiendo la configuración regional POSIX C). No se define canonicalización o juego de caracteres para
Las contraseñas de Kerberos en general, por lo que es posible que desee rechazar los caracteres que no sean ASCII para evitar
Problemas de interoperabilidad con equipos con diferentes juegos de caracteres predeterminados o
Formas de normalización Unicode.
requieren_clases
Esta opción permite especificar requisitos de clases de caracteres más complejos. El
El valor de este parámetro debe ser una o más reglas separadas por espacios en blanco. Cada regla
tiene la sintaxis:
[ - :] [, ...]
donde es uno de "superior", "inferior", "dígito" o "símbolo". La clase de símbolo
incluye todos los caracteres que no sean alfanuméricos, incluido el espacio. El
las clases enumeradas deben aparecer en la contraseña. Separe varias clases requeridas con un
coma (y sin espacios).
Las comprobaciones de la clase de caracteres se realizarán en cualquier configuración regional del complemento o contraseña
Se ejecuta el programa de verificación, que normalmente será la configuración regional POSIX C, pero puede ser
diferente dependiendo de la configuración local.
Un ejemplo simple:
require_classes = dígito superior, inferior
Esto requiere que todas las contraseñas contengan al menos una letra mayúscula, al menos una
letra minúscula y al menos un dígito.
Si está presente, y especificar la longitud mínima de la contraseña y la contraseña máxima
longitud a la que se aplica esta regla. Esto le permite a uno especificar la clase de personaje.
requisitos que cambian con la longitud de la contraseña. Así por ejemplo:
require_classes = 8-19: superior, inferior 8-15: dígito 8-11: símbolo
requiere que todas las contraseñas de 8 a 11 caracteres contengan los cuatro caracteres
clases, las contraseñas de 12 a 15 caracteres contienen mayúsculas y minúsculas y un
dígitos y las contraseñas de 16 a 19 caracteres contienen mayúsculas y minúsculas.
Las contraseñas de más de 20 caracteres no tienen restricciones de clase de caracteres. (Esta
El ejemplo probablemente se usa junto con longitud_mínima = 8.)
require_non_letter
Si se establece en un valor booleano verdadero, la contraseña debe contener al menos un carácter que
no es una letra (mayúscula o minúscula) ni un espacio. Esto puede ser útil en
combinación con frases de contraseña; los usuarios pueden elegir una frase estándar en inglés, y esto
forzar al menos alguna complejidad adicional.
Utilice heimdal-Strength en línea utilizando los servicios de onworks.net
