Come impedire agli utenti di cambiare la propria password in una delle ultime X password?

Ho un Ubuntu GNOME 15.10 con sistema GNOME 3.18 che vorrei impostare in modo che gli utenti che lo utilizzano non possano impostare una nuova password come una delle precedenti password X, come si può ottenere?

Quando cambio la mia password, se è troppo simile al mio ultimo il mio sistema non mi permette di cambiarla con quella password, sarebbe bene se la risposta potesse anche mostrare come estenderla in modo che anche la nuova password non possa essere troppo simile alle precedenti password X registrate.

Nota: la cronologia delle ultime password X non deve essere archiviata in modo non sicuro non crittografato, in effetti probabilmente dovrebbe essere memorizzata nello stesso modo o in modo simile al modo in cui è memorizzata la password corrente (come hash salato).

Ho usato Xper rappresentare il numero di password (questo potrebbe essere qualsiasi valore) perché voglio essere in grado di cambiare facilmente la quantità di password memorizzate che non possono essere utilizzate, e anche così che altri possano facilmente prendere la risposta e usarla come loro desiderio piuttosto che avere una risposta che ruota intorno a un valore molto impostato per X.

Aggiornamento delle informazioni:

Come richiesto qui è il contenuto del mio file (esclusi i commenti in alto) /etc/pam.d/common-password:

# here are the per-package modules (the "Primary" block)
password        [success=1 default=ignore]      pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
password        optional        pam_gnome_keyring.so
# end of pam-auth-update config

gnome password security

— Guntbert
fonte

Nota che a) forzare gli utenti a cambiare la loro password eb) prevenire X vecchie password in cui X è> 2 può ridurre la sicurezza ... "Meglio aggiungere semplicemente 1 alla mia vecchia password ... E scriverlo sulla nota di post per ricordare io ... "

— Tim

@Tim: ci sono già meccanismi integrati nel mio sistema che impediscono che la password sia troppo simile alla precedente.

Questo è spesso altrettanto negativo - ciò assicura che l'utente lo scriva. Non sono nemmeno convinto che il cambiamento abbia qualche beneficio - e certamente ha degli aspetti negativi.

— Tim

@Tim: Inoltre, mi hai appena ricordato qualcosa che ho dimenticato di includere, ho aggiornato la mia domanda con esso (anche se nota che, sebbene questo sarebbe carino, se la risposta non può mostrare come fare questa cosa aggiuntiva, allora starei bene ottenere quello che avevo chiesto inizialmente).

@Tim: avrò altre politiche in atto che impediscono loro di farlo e li terrò d'occhio.

Puoi configurare PAM per fare questo per te. Basta aprire /etc/pam.d/common-passworde aggiungere use_authtokalla prima passwordriga (quella che chiama il modulo pam_unix) in modo che assomigli in qualche modo a questo:

password    [success=1 default=ignore]  pam_unix.so obscure sha512 use_authtok

Ora aggiungi questa riga sopra la riga precedentemente modificata:

password    required    pam_pwhistory.so  remember=X

dove si Xtrova il numero di password precedenti rispetto alle quali si desidera verificare la presenza di una password ripetuta.

Qui le Xpassword precedenti verranno archiviate in forma hash nella posizione/etc/security/opasswd

Quindi è necessario creare il file se e solo se non esiste e assegnargli il permesso 600 ( -rw-------):

sudo touch /etc/security/opasswd
sudo chmod 600 /etc/security/opasswd

— daltonfury42
fonte

Anche se fare come dici tu sembra significare che se provo a impostare una password che ho usato prima come una delle mie ultime X password nel centro di controllo di gnome, non fa nulla e mi costringe a forzare a chiudere l'applicazione, non sembra funzionare molto bene ... Cosa fa esattamente il 14.04? Perché mi aspetterei che mi indichi se la password non era adatta invece di bloccarsi quando le chiedo di cambiarla.

@ParanoidPanda Molto interessante. Cosa ottieni quando provi a cambiare la password usando passwd? Questo è quello che mi succede. Quando cambio usando passwdottengo "La password è già stata utilizzata. Scegli un'altra." e quando provo a cambiare la password dalla GUI non mi permette di cambiare la password (il pulsante Cambia è disattivato) e viene scritto "Password troppo debole".

— daltonfury42,

Va notato che sto segnalando da Ubuntu 14.04 che esegue Unity, non Gnome.

— daltonfury42,

L'ho provato di nuovo, questa volta in un'installazione di Ubuntu GNOME 16.04 Beta 2 con GNOME 3.20 e ho scoperto che funziona come hai descritto con il passwdcomando, ma non nel gnome-control-center, lì si blocca appena mi consente premere Change. Anche se forse questo è un bug, devo presentare un rapporto su ...

@ParanoidPanda Questo sarebbe dovuto alla pessima programmazione in gnome-control-center, non perché non funziona. La configurazione di PAM è sicuramente il modo migliore per farlo.

— Seth,