heimdal-strength - En ligne dans le Cloud

PROGRAMME:

Nom

heimdal-strength - Contrôle de la qualité du mot de passe Heimdal intégrant CrackLib

SYNOPSIS

heimdal-force [principal]

DESCRIPTION

heimdal-force est un programme externe de contrôle de la qualité des mots de passe pour Heimdal qui vérifie
la force d'un mot de passe. Les mots de passe peuvent être testés avec CrackLib, vérifiés par rapport à un CDB
base de données de mots de passe faibles connus, vérifiés pour la longueur, vérifiés pour non imprimables ou non
Caractères ASCII pouvant être difficiles à saisir de manière reproductible, devant contenir
classes de caractères particulières, ou toute combinaison de ces tests. Il est normalement exécuté via
kpasswdd(8) en utilisant l'interface de contrôle de qualité du mot de passe Heimdal plutôt que directement.

Pour utiliser ce programme, il doit être configuré dans krb5.conf via les paramètres dans "[appdefaults]"
pour le nom de l'application "krb5-strength". Un réglage typique serait :

krb5-force = {
mot de passe_dictionnaire = /usr/local/lib/kadmind/dictionary
}

qui dit de vérifier les mots de passe avec CrackLib en utilisant le chemin donné comme chemin de base du
Dictionnaire CrackLib. Voir "CONFIGURATION" ci-dessous pour plus de détails sur la configuration prise en charge
options.

heimdal-force attend ensuite les informations de contrôle de qualité du mot de passe Heimdal sur la norme
entrée, en particulier :

principal:
nouveau mot de passe:
fin

où est le principal dont le mot de passe serait modifié et est le
nouveau mot de passe. Si le mot de passe semble être fort, il imprime « APPROUVÉ » sur la norme
sortie et sort avec un état de 0. Si le mot de passe est rejeté comme étant trop faible, il
affichera la raison du rejet du mot de passe en cas d'erreur standard et quittera avec un statut
de 0. Si une erreur fatale se produit, il imprimera cette erreur à l'erreur standard et quittera
avec un statut non nul.

CONFIGURATION

krb5.conf les options de configuration sont prises en charge :

minimum_différent
S'il est défini sur une valeur numérique, les mots de passe avec moins de ce nombre de caractères uniques
sera rejeté. Cela peut être utilisé pour rejeter, par exemple, les mots de passe qui sont longs
des chaînes du même caractère ou des répétitions d'un petit nombre de caractères, ce qui peut
être trop facile à deviner.

longueur minimale
S'il est défini sur une valeur numérique, les mots de passe avec moins de ce nombre de caractères seront
rejeté, indépendamment de toute restriction de longueur dans CrackLib. Notez que ce paramètre
ne contourne pas les exigences de longueur minimale dans CrackLib lui-même.

mot_de_passe_dictionnaire
Spécifie le chemin de base vers un dictionnaire CrackLib et active le test de force du mot de passe
en utilisant CrackLib. Le chemin fourni doit être le chemin complet des fichiers du dictionnaire,
en omettant la traînée *.hwm, *.pwdet *.pwi extensions pour le dictionnaire CrackLib.

mot_de_passe_dictionnaire_cdb
Spécifie le chemin de base vers un dictionnaire CDB et active le dictionnaire de mots de passe CDB
recherches. Le chemin doit pointer vers une base de données au format CDB dont les clés sont les
mots de passe ou mots du dictionnaire. Les valeurs sont ignorées. Vous pouvez utiliser le
krb5-force-liste-mots utilitaire pour générer la base de données CDB à partir d'une liste de mots.

Les recherches dans le dictionnaire CDB ne modifient pas les mots de passe complexes que CrackLib fait.
Au lieu de cela, le mot de passe lui-même sera vérifié par rapport au dictionnaire, puis
des variations du mot de passe formées en supprimant le premier caractère, le dernier caractère,
les premier et dernier caractères, les deux premiers caractères et les deux derniers caractères.
Si l'une de ces chaînes est trouvée dans la base de données CDB, le mot de passe sera rejeté ;
dans le cas contraire, il sera accepté, au moins par ce chèque.

Un dictionnaire CrackLib, un dictionnaire CDB et un dictionnaire SQLite peuvent tous être configurés
en même temps ou dans n'importe quelle combinaison, auquel cas CrackLib sera exécuté en premier,
suivi de CDB, puis de SQLite selon le cas.

mot_de_passe_dictionnaire_sqlite
Spécifie le chemin de base vers un dictionnaire SQLite et active le dictionnaire de mots de passe SQLite
recherches. Le chemin doit pointer vers une base de données SQLite 3 avec une table nommée "mots de passe".
Ce tableau doit avoir deux colonnes, "password" et "drowssap", qui, pour chaque
mot du dictionnaire, contient le mot et la forme inversée du mot. Vous pouvez utiliser le
krb5-force-liste-mots utilitaire pour générer la base de données SQLite à partir d'une liste de mots.

Les recherches dans le dictionnaire SQLite ne modifient pas le mot de passe complexe que CrackLib
le fait, mais ils détecteront et rejetteront tout mot de passe qui se trouve à une distance d'édition de l'un des
un mot du dictionnaire, ce qui signifie que le mot du dictionnaire peut être formé à partir du
mot de passe en ajoutant, supprimant ou modifiant un seul caractère.

Un dictionnaire CrackLib, un dictionnaire CDB et un dictionnaire SQLite peuvent tous être configurés
en même temps ou dans n'importe quelle combinaison, auquel cas CrackLib sera exécuté en premier,
suivi de CDB, puis de SQLite selon le cas.

require_ascii_printable
S'il est défini sur une vraie valeur booléenne, rejette tout mot de passe contenant des caractères non ASCII
caractères ou caractères de contrôle ASCII. Les espaces sont autorisés; les onglets ne le sont pas (au moins
en supposant la locale POSIX C). Aucune canonisation ou jeu de caractères n'est défini pour
Les mots de passe Kerberos en général, vous pouvez donc vouloir rejeter les caractères non ASCII pour éviter
problèmes d'interopérabilité avec des ordinateurs avec des jeux de caractères par défaut différents ou
Formulaires de normalisation Unicode.

classes_requises
Cette option permet de spécifier des exigences de classe de caractères plus complexes. Les
La valeur de ce paramètre doit être une ou plusieurs règles séparées par des espaces. Chaque règle
a la syntaxe :

[ - :] [, ...]

où est l'un des "supérieur", "inférieur", "chiffre" ou "symbole". La classe des symboles
inclut tous les caractères autres que les caractères alphanumériques, y compris l'espace. Les
les classes répertoriées doivent apparaître dans le mot de passe. Séparez plusieurs classes obligatoires avec un
virgule (et pas d'espace).

Les vérifications de la classe de caractères seront effectuées quelle que soit la langue du plugin ou du mot de passe
check programme est exécuté, qui sera normalement la locale POSIX C mais peut être
différent selon la configuration locale.

Un exemple simple:

require_classes = supérieur, inférieur, chiffre

Cela nécessite que tous les mots de passe contiennent au moins une lettre majuscule, au moins une
lettre minuscule et au moins un chiffre.

Si présent, et spécifier la longueur minimale du mot de passe et le mot de passe maximal
longueur à laquelle cette règle s'applique. Cela permet de spécifier la classe de caractères
exigences qui changent avec la longueur du mot de passe. Ainsi, par exemple :

require_classes = 8-19:supérieur,inférieur 8-15:chiffre 8-11:symbole

nécessite que tous les mots de passe de 8 à 11 caractères contiennent les quatre caractères
classes, les mots de passe de 12 à 15 caractères contiennent des majuscules et des minuscules et un
et les mots de passe de 16 à 19 caractères contiennent à la fois des majuscules et des minuscules.
Les mots de passe de plus de 20 caractères n'ont aucune restriction de classe de caractères. (Cette
exemple est probablement utilisé en conjonction avec minimum_length = 8.)

exiger_non_lettre
S'il est défini sur une vraie valeur booléenne, le mot de passe doit contenir au moins un caractère qui
n'est pas une lettre (majuscule ou minuscule) ou un espace. Cela peut être utile dans
combinaison avec des mots de passe ; les utilisateurs peuvent choisir une expression anglaise courante, et cela
forcer au moins une certaine complexité supplémentaire.

Utilisez heimdal-strength en ligne en utilisant les services onworks.net