El sistema de contraseñas Shadow

En algunos sistemas UNIX el archivo /etc/passwd contiene, entre otras cosas, la contraseña del usuario codificada según una palabra clave que establece el usuario con el programa “passwd”. De esta forma, aunque alguien pueda leer el archivo /etc/passwd, no podrá averiguar las contraseñas de ningún user, y mucho menos la del administrador.

 

La codificación de la contraseña se hace utilizando un sistema de único sentido (one way hash function), de forma que es muy sencillo codificar la clave conociendo la contraseña, pero muy difícil  de decodificar si ésta no se conoce. Cuando un user accede al sistema proporciona su contraseña codificada que se encuentra en /etc/passwd.

 

A pesar de que ya hemos dicho que el proceso inverso es difícil, existen técnicas criptográficas al alcance de cualquiera que permiten obtener la clave a partir de la clave codificiada. Además en un sistema con muchos usuarios, es fácil que un gran número de ellos haya elegido contraseñas débiles, es decir, contraseñas basadas en palabras que aparecen en diccionarios.La solución a este problema sería que el archivo /etc/passwd no fuera legible por ningún usuario, a excepción de root, pero es no e sposible porque una orden tan sencilla como ls –l necesita acceder al archivo para averiguar el nombre de ususario dado un UID, por lo tanto con estas premisas solo nos queda una solución: almacenar la contraseña codificada en otro archivo al que sólo root y algunos pocos programas autorizados (p.e passwd) puedan acceder.

 

Este archivo es /etc/shadow.

Anuncios
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: