Linux
在 Linux/Debian 中,密碼 (/etc/passwd) 是否曾經以純文字形式儲存?
有人告訴我,我有一些疑問,但我在網上找不到任何資訊。
摘自 Robert Morris 和 Ken Thompson (1979) ( http://www.cs.yale.edu/homes/arvind/cs422/doc/unix-sec.pdf ) 的“密碼安全:案例歷史”,引自序幕:
UNIX 系統最初是使用包含所有使用者的實際密碼的密碼文件實現的,因此必須對密碼文件進行嚴格的保護,以防被讀取或寫入。
所以是的,最初,密碼文件包含實際密碼
編輯
這是在 UNIX 中。即使在上述參考論文發表時,它也被視為一個壞主意。由於 Debian 是 1991 年後的,因此假設或相信 Linux 發行版會啟用密碼文件甚至沒有加密保護是可笑的。
Debian passwd 套件的初始版本更有可能使用非陰影密碼,它將加密的密碼儲存在 /etc/passwd 本身中。當時使用的機制是“crypt”,它在數學上比目前使用 md5 的做法更容易計算(儘管有其他選項可用)。
如果有機會,請閱讀 Linux Pro Magazine 的“Shell Handbook”版。我有一篇關於命令行使用者操作的 4 頁文章,我談到了 UNIX 密碼安全的歷史。