Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

stockage des mots de passe des utilisateurs du systeme

Pedro-le-fou

Salut les amis,
j'ai une petite interrogation, je voudrais savoir comment sont stocker les mots de passe des utilisateurs d'un systeme Ubuntu ?
J'ai lu qu'ils étaient stockés d'une maniere chiffrée dans un fichier. Alors je pose ma question, où est stockée la clé si c'est chiffrée ? A moins que le terme exacte soit "hashé" ?
Et peu importe que ce soit chiffré ou hashé, on peut tout simplement ouvrir une session live et écraser un hash par le hash d'un mot de passe qu'on choisit non ?

Enfin voilà si vous avez des infos là-dessus, je prends car je suis bien intéressé.

yohann

Et peu importe que ce soit chiffré ou hashé, on peut tout simplement ouvrir une session live et écraser un hash par le hash d'un mot de passe qu'on choisit non ?

oui il n'y a pas de sécurité contre un accès physique à la machine

dualboot

yohann a écrit
Et peu importe que ce soit chiffré ou hashé, on peut tout simplement ouvrir une session live et écraser un hash par le hash d'un mot de passe qu'on choisit non ?
oui il n'y a pas de sécurité contre un accès physique à la machine

Si si : un mot de passe au démarrage du BIOS, un mot de passe au niveau du GRUB, l'ensemble des partitions chiffrées.
Ok c'est très parano ...

AlexandreP

Mot de passe sur le BIOS? enlève la pile du BIOS et il se réinitialise.
Mot de passe pour GRUB? passe par une session live d'un CD-ROM ou clé USB d'Ubuntu, et tu contournes.

Le chiffrement au niveau du disque dur est probablement meilleur, mais je n'ai pas assez d'expérience à ce sujet pour me prononcer.

yohann

AlexandreP: +1,
mais si on considère que ce qui importe c'est le QoS meme avec des partitions chiffrées, un coup de sécateur dans le cable reseau => finit

Hoper

Les mots de passes sont hashés, et situés dans /etc/shadow.
Le début du hash te donnera l'algo utilisé pour réaliser le hash :

$1 – md5
$2a – blowfish
$6 – sha-512

Et effectivement, il n'existe AUCUNE façon de sécuriser quoi que ce soit à partir du moment ou tu as un accès physique à la machine. C'est pourquoi les salles machines des entreprises sont généralement très bien protégés physiquement. (Caméra de surveillance, portes qu'il faut dévérouiller par des badges et/ou des codes d'accès etc).