Они хранятся в виде md5-кэша, емнип, в /etc/shadow

по стандарту всё описано на http://www.linuxbase.org

s/кэша/хеша

Совсем уже после бессонной ночи не соображаю

и ни разу не md5 :)

А википедия подтверждает, что в md5. Да я и сам помню по книжке

viktorzinchuk

Где в fedora 16 хранятся пароли, да и вообще в линукс?

нигде. Хранится только односторонний хеш и соль в /etc/shadow. Раньше они были в /etc/passwd, но после массовых взломов их оттуда убрали, сменив на x.

ого, википедиа - уже авторитетный ресурс? а не огромная помойка?

у меня все хеши в SHA-512.

У вас какя-то неправильная википедия. В правильной википедии всё написано правильно:

"$id$salt$encrypted", where "$id" is the hashing algorithm used (On linux, "$1$" stands for MD5, "$2$" is Blowfish, "$5$" is SHA-256 and "$6$" is SHA-512, crypt(3) manpage, other Unix may have different values, like NetBSD).

Да, скосячил

Так что оба неправы

на работу давай иди, хватит на лоре сидеть. :)

HerrWeigel

А википедия подтверждает, что в md5. Да я и сам помню по книжке

мало-ли что википедия говорит? На самом деле можно выбрать тип хеширования.

       ENCRYPT_METHOD (string)
           This defines the system default encryption algorithm for encrypting passwords (if no algorithm are specified on the
           command line).

           It can take one of these values:

           o   DES (default)

           o   MD5

           o   SHA256

           o   SHA512

           Note: this parameter overrides the MD5_CRYPT_ENAB variable.

Тред не читай@Сразу отвечай

Сабж

вы пишете быстро слишком.

Это может быть:)

Если говорить о паролях в общем, то они в основном хранятся в связке ключей гнома/кде, которая очень часто бывает без пароля.

Если говорить об аутентификации в Linux вообще. То есть такая система как PAM. Так что пароли могут храниться где угодно и как угодно, может использоваться вообще беспарольная аутентификация etc.

И все в конечном итоге зависит от конфигурации.

В md5 уже сто лет в обед, как пароли не хэшируют, как минимум sha128

А вот это - в точку!

Можно вообще вместо хэша пароля какую-нибудь фигню написать (или «звездочку»), а заходить только удаленно по ssh (аутентификация по ключам).

Мне кажется, топикстартеру нужно решение на большинство конфигураций. Понятно, что можно всё спрятать как угодно и зашифровать. И воровать надо не пароли пользователя, а прикладные пароли из браузера/на скайп и подобные.

Из браузера пароли украсть проще простого, т.к. там вообще они никак не шифруются и хранятся в БД (sqlite, вроде бы) открытым текстом.

Хромиум на последней опенсусе требовал пароль от связки ключей при сохранении его или заходе на сайт где он нужен. Пришлось выставить пустой. Так что не всё так просто.

Это ещё из какого браузера. Вот в кедах пороли не конюшне^W^W в бумажнике каком то. Который тоже можно запоролить

Да где угодно!

Eddy_Em

Из браузера пароли украсть проще простого, т.к. там вообще они никак не шифруются и хранятся в БД (sqlite, вроде бы)

можно пруф? я не нашёл в FireFox паролей в открытом виде. Хотя вдумчиво, с чтением сырцов, и не искал. Может кто-то уже сделал (да наверняка сделал) эту работу за меня? Там действительно sqlite3, вот только в отличие от других полей (ссылки, input type='text' и т.д.) пароли хранятся как-то не так. НЕ в открытом виде.

Они хранятся в открытом виде (если не делать «мастер-пароль», в этом случае пароли хранятся в зашифрованном виде).

Eddy_Em

Они хранятся в открытом виде

в какой базе? я что-то не нашёл.

Черт их знает: просто в самом огнелисе (в настройках) все эти пароли можно посмотреть ==> даже если они и чем-то шифруются, шифруются «халявно».

Eddy_Em

Черт их знает: просто в самом огнелисе (в настройках) все эти пароли можно посмотреть ==> даже если они и чем-то шифруются, шифруются «халявно».

я знаю, что можно посмотреть. Но насколько «халявно» зашифровано - непонятно...