Ecco come è semplice testare la sicurezza delle password con Cracklib su Linux emulando il cracking delle stesse, si possono definire anche quali password sono ovvie.
Svariati sono i software e servizi online che permettono di testare le password, una libreria inclusa nel sistema che permette di far questo senza dubbio è più comoda e meno fastidiosa, se poi è possibile interfacciarla per impedire agli utenti di sistema di generare password troppo semplici sarebbe ancora meglio, Cracklib è stato realizzato per questo, ma, dato che ha un dizionario (wordlist) contenente 1671704 password semplici da craccare e che si può personalizzare utilizzarlo per testare qualsiasi password non è una brutta idea, poi, le password non ovvie le si potranno gestire/ricordare comodamente con un qualsiasi password manager.
Come testare la robustezza delle password con cracklib-check
Cracklib oltre essere una libreria che testa le password contiene vari tool a linea di comando sempre correlati al programma per la gestione della sicurezza delle password è cracklib-check, il comando che permette di testare le password, in pratica anteponendo un "echo" con la password tra le virgolette e passando tramite pipe a cracklib-check la password la si testerà, ad esempio per testare la password "123" il semplice comando da dare sarà echo "123" | cracklib-check
, dopo averlo digitato verrà riferito se la password è sicura o no.
Prima di testare le password però, oltre installare il dizionario delle password è una saggia idea personalizzare la wordlist delle password di default, che, seppur ne contenga moltissime non è personalizzata, ovvero, le password più banali e quelle più facilmente individuabili da malintenzionati che una persona potrebbe mettere sono il suo nome e cognome o solo uno dei due, i nomi dei famigliari, le varie date di nascita e così via, queste ovviamente non sono presenti di default e bisogna aggiungerle manualmente.
Dopo aver installato Cracklib tramite repository o tramite sorgente, nel sito internet che indico tramite link a fine articolo da dov'è possibile fare il download dei sorgenti del software, nella directory cracklib-words
presente sul server c'è la word list, bisognerà decomprimere l'archivio nella directory /usr/share/cracklib/
, e, se non è presente bisognerà creare quella cartella.
Ora, ammettendo che quel file si chiami "cracklib-words-20080507", dopo averlo opportunamente modificato aggiungendovi nuove password come ho suggerito, per istruire Cracklib ad utilizzare quella wordlist bisognerà digitare da shell il comando create-cracklib-dict /usr/share/cracklib/cracklib-words-20080507
e con questo è tutto. Probabilmente installando il software tramite repository non dovrete farlo, tramite sorgente io ho dovuto farlo ed è stato l'unico inconveniente, facile da risolvere, per il resto va benissimo.
Se non l'aveste nei repository da qui potete fare il download di Cracklib.