Premessa
In questo blog ho più volte parlato di digest, di algoritmi di cifratura one-way e compagnia bella. Una cosa è chiara: MD5 non è la scelta migliore da fare quando si parla di cifratura delle password. Infatti, la sua naturale evoluzione, ovvero SHA, presenta una maggiore robustezza (aka resistenza debole e forte alle collisioni), dovuta anche alle dimensioni del digest che genera. Proprio per questo motivo, sono solito abilitare sui miei server l'algoritmo SHA512 per la cifratura delle password utente.
SHA512 su CentOS
Sostituire MD5 con SHA512 su CentOS è sicuramente banale. Il primo step consiste nell'identificare il tipo di cifratura attualmente utilizzato dal nostro sistema:
[root@host ~]# authconfig --test | grep hashing
Se l'output è simile al seguente:
password hashing algorithm is md5
significa che stiamo utilizzando MD5. Per sostituirlo con SHA512 basta digitare (da utente root):
[root@host ~]# authconfig --passalgo=sha512 --update
L'ultimo step consiste nell'aggiornare le password degli utenti. In questo caso potete fare 2 scelte:
1) aggiornare voi le password degli utenti (se le conoscete);
2) richiedere all'utente l'aggiornamento delle password al prossimo login.
Nel primo caso è sufficiente lanciare il comando:
[root@host ~]# passwd <nomeutente>
mentre, per forzare il cambio password da parte dell'utente occorre digitare:
[root@host ~]# chage -d 0 <nomeutente>
Enjoy.