什么是重放密码存储文件攻击的有效解决方案?

时间:2013-04-22 23:00:58

标签: security passwords password-protection password-storage

如何才能有效阻止对包含用户名及其密码与盐(和/或胡椒)进行哈希密码的密码文件的重播攻击?我有兴趣预防的攻击如下:

  1. Alice有密码A.
  2. Mallory知道密码A。
  3. Alice将密码更改为B.
  4. Mallory将密码文件替换为Alice的密码为A时使用的密码文件。
  5. Mallory使用密码A进行身份验证。

    6. 显然不足以依赖操作系统的读/写权限,或者将密码存储为纯文本也足够了。

    真正的系统如何做到这一点?如果我用旧的/ etc / shadow替换我的/ etc / shadow怎么办?

1 个答案:

答案 0 :(得分:0)

我到达的解决方案是将密码时间戳与记录密码文件更改的审核日志一起存储。时间戳由HMAC完整性保护。直接在密码上使用HMAC是另一种解决方案,但审计日志已经存在于系统中,因此利用它似乎是可以接受的。

相关问题
最新问题