The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск shadow-utils 4.19 с признанием устаревшим механизма ограничения времени действия паролей

01.01.2026 11:49

Доступен выпуск инструментария shadow-utils 4.19.0, включающего утилиты для управления учётными данными пользователей и групп, а также хранения паролей в отдельном файле /etc/shadow, доступном только пользователю root и группе shadow. В состав входят такие утилиты, как useradd, userdel, usermod, pwconv, groupadd, groupdel, groupmod, pwunconv, pwck, lastlog, su и login. Код инструментария написан на Си и распространяется под лицензией BSD.

Новая версия примечательна объявлением устаревшей функциональности, принуждающей пользователей менять пароль после истечения определённого времени. Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен, а принуждение к смене паролей приводит к использованию пользователями предсказуемых шаблонов. В утверждённом в 2025 году стандарте NIST SP 800-63B-4 не рекомендовано ограничивать время жизни пароля. В число устаревших переведены опции "-k" (--keep-tokens), "-n" (--mindays), "-x" (--maxdays), "-i" (--inactive) и "-w" (--warndays), а также флаги PASS_MIN_DAYS, PASS_MAX_DAYS, PASS_WARN_AGE, INACTIVE, sp_lstchg, sp_min, sp_max, sp_warn и sp_inact. Планов по удалению данных опций и флагов пока нет, речь только о пометке их устаревшими.

Из других значительных изменений в новой версии:

  • Запрещено использование в файлах конфигурации экранированных символов перевода строки.
  • Объявлена устаревшей поддержка хэшей SHA-1, в следующем выпуске опция '--with-sha-crypt' будет удалена.
  • В категорию устаревших и запланированных к удалению в будущих выпусках переведены утилиты groupmems и logoutd.
  • Реализовано блокирование использования некоторых опасных имён пользователей и групп, независимо от состояния опции "--badname". Например, имена, начинающиеся на "-" или содержащие служебные символы, такие как "#:;,/" и разные формы кавычек.


  1. Главная ссылка к новости (https://github.com/shadow-main...)
  2. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
  3. OpenNews: Анонсирован Openwall GNU/*/Linux 3.1-stable
  4. OpenNews: В OpenSSH добавлена встроенная защита от атак по подбору паролей
  5. OpenNews: Уязвимости в apport и systemd-coredump, позволяющие извлечь хэши паролей пользователей системы
  6. OpenNews: Представлен Proton Authenticator, генератор одноразовых паролей для двухфакторной аутентификации
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64541-shadow
Ключевые слова: shadow, password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, anonymous (??), 12:07, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    Менять пароли - это всё ещё безопасно. Но только если пользователи действительно хотят менять пароли. А если не хотят, а их заставляют - то начинается итальянская забастовка. Когда пароли вроде бы меняются, а лучше бы не менялись.
     
     
  • 2.3, онанист (?), 12:24, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Менять пароли - это всё ещё безопасно.

    примерно так же, как ключи к замку.

     
     
  • 3.42, Аноним (42), 19:23, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Менять пароли - это всё ещё безопасно.

    "Your password must be at least 16387 chars long and can not match previous 32767 passwords" (c) вольный пересказ одного из багов винды. Цифры могут быть немного неточными как и сообщение - но баг зачетный :)

     
  • 2.4, Аноним (4), 12:39, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Смысл менять пароли был только если один пароль используется в нескольких местах, если пароль уникален и надежен то смена на безопасность не влияет.
     
     
  • 3.7, Аноним (7), 12:52, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    > если пароль уникален и надежен то смена на безопасность не влияет.

    Влияет, вот я запустил условный брутфорс и мой пароль начинается там на символ "k", а тем временем атакующий еще только брутфорсит символ "g", вот взял сменил пароль и он начинается уже на символ "a", то есть атакующий уже проверял данный пароль, в таком случае пробрутфорсит до "конца" и не наткнется на пароль :)

     
     
  • 4.9, penetrator (?), 13:53, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    если пароль уникальный и случайный длиной около 20 символов (например c1PuKrnmBYsfievymPx - энтропия 113 бит), то перебирать ты его будешь даже имея все мощности планеты больше чем текущий возраст Вселенной

    а если пароль у тебя linuxforever то конечно смысла в таком паароле нет вообще

     
     
  • 5.13, Аноним (7), 15:00, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > энтропия 113 бит

    ну квантовый за 2^56 попыток отгадает если не быстрее :)

     
     
  • 6.15, Аноним (15), 16:24, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Смотрел ролик страшилку, что когда квантовые компьютеры появятся. То самое страшное шифрование станет бессмысленным.
     
     
  • 7.22, Аноним (7), 17:04, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > То самое страшное шифрование станет бессмысленным.

    Ваше шифрование и без квантового - бессмысленное :) наивный

     
     
  • 8.38, 12yoexpert (ok), 18:30, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    ты лучше напиши, куда деньги нести, а то всё блаблабла... текст свёрнут, показать
     
     
  • 9.40, Tty4 (?), 18:46, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Что за наркотический угар Чтобы взломать пароль с помощью квантового компьютера... текст свёрнут, показать
     
     
  • 10.44, Аноним (7), 19:38, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    зачем У вас пост-квантовые алгоритмы ломаются на классическом ... текст свёрнут, показать
     
  • 6.19, 12yoexpert (ok), 16:52, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    ну так беги покупать акции контор, которые утверждают подобное. разбогатеешь.
     
     
  • 7.21, Аноним (7), 17:03, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    > ну так беги покупать

    зачем? я уже свой создал :)

     
     
  • 8.34, Аноним (34), 18:26, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Свой квантовый комп ... текст свёрнут, показать
     
  • 8.35, 12yoexpert (ok), 18:26, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    аа, так твои акции нужно покупать, понял у тебя превосходство уже или уже завтра... текст свёрнут, показать
     
     
  • 9.46, Аноним (7), 19:41, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Похвально, доперло до тебя, со второго раза Прочти комент выше ... текст свёрнут, показать
     
  • 5.49, torvn77 (ok), 20:42, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >c1PuKrnmBYsfievymPx

    С этим паролем будет одно из трёх:  
    1. Пользователь пароль помнит, но часто набирается на клавиатуре и однажды его сопрут методом записи звука от набора клавиш.
    2. Пароль записан на общедоступную парольную бумажку
    3. Пароль набран один раз и за полугодовой срок жизни сессии забыт и по факту логин сводится к авторизации через присылаемую по электронной почте ссылку.

    Так вот что я думаю, у админа должен быть лазерный маркер которым он делает бирки qr кодом, который пользователь при входе в систему прикладывает к специальному девайсу в виде микроскопа с вебкамерой.

     
     
  • 6.51, Аноним (7), 21:06, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > к специальному девайсу в виде микроскопа с вебкамерой.

    поздравляем, вы изобрели так называемый кийлоадер :)

    gc: //en.wikipedia.org/wiki/Fill_device

     
  • 6.55, Аноним (-), 23:59, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Так вот что я думаю, у админа должен быть лазерный маркер которым он делает
    > бирки qr кодом, который пользователь при входе в систему прикладывает
    > к специальному девайсу в виде микроскопа с вебкамерой.

    Вообще-то обычная камера + QR код даст то же самое, но сильно проще, быстрее, дешевле - и вы никогда не видели билеты и проч где вас по QR и пускают как раз?

     
     
  • 7.56, torvn77 (ok), 00:22, 02/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/

    > Вообще-то обычная камера + QR код даст то же самое, но сильно
    > проще, быстрее, дешевле - и вы никогда не видели билеты и
    > проч где вас по QR и пускают как раз?

    QR код должен быть достаточно маленьким чтобы его нельзя было просто так перефоткать смартфоном, в том числе с близкого расстояния, к тому же если этим кодом будет длинный пароль или криптографический ключ, а может даже и и то и другое разом в формате json, то объём закодированный в qr коде должен быть достаточно большим, а значит разумно предусмотреть его механическую фиксацию в фокусе микрообъектива.  

    с другой стороны я думаю будет правильным принимать код не с любой камеры, а с вполне определённой, что даст защиту и пользователю, не покажет кому не надо, и pam модулю, так как определённую камеру воткнутую в определённый usb порт подделать несколько сложнее.

     
  • 4.11, Аноним (11), 14:37, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Удачи побрутить тот же scrypt, лол.
     
     
  • 5.23, Аноним (7), 17:05, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    зачем, если мне достаточно найти коллизию :)
     
     
  • 6.26, Аноним (11), 17:20, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > найти коллизию

    Удачи х2. Хоть бы почитал про PBKDF.

     
     
  • 7.29, Аноним (7), 17:29, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Хоть бы почитал про PBKDF.

    Это просто механизм, все упирается в вашу хеш функцию, а коллизия это неизбежность любой хеш функции.

     
     
  • 8.47, Аноним (7), 19:43, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    а что это такое ... текст свёрнут, показать
     
  • 8.48, Аноним (7), 19:45, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    а минусатор кажись в качестве хеш функции sha1 и md5 использует продолжай исп... текст свёрнут, показать
     
  • 2.5, Аноним (5), 12:49, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > итальянская забастовка

    [T]OTP как терминальная стадия

     
     
  • 3.16, Аноним (15), 16:26, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    TOTP вполне себе хорошо как второй фактор, не понял при чем тут итальянская забастовка? Другое дело что для входа в винду никто не просит второй фактор.
     
     
  • 4.20, Аноним (5), 16:58, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Одноразовый пароль - это как раз крайний случай (терминальная стадия) принудительной смены пароля.

    TOTP - это не фактор.
    Фактор - владение асимметричным секретом, предположительно неизвлекаемым с физического носителя (настоящий фактор!), на основе которого генерятся "человекочитаемые" пароли. Вопрос: зачем нужно ослаблять криптографию, когда уже есть вся необходимая асимметрия?

     
     
  • 5.28, Аноним (34), 17:28, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Для тебя тогда есть Passkeys, там как-раз ничего не генерится, а используется ассиметричный секрет
     
     
  • 6.52, Аноним (7), 21:09, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    а пароль для разблокировки секретного ключа не нужен?
     
  • 2.27, OpenEcho (?), 17:28, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Менять пароли - это всё ещё безопасно.

    NIST SP 800-63B с вами не согласен. Нет смысла без причины заставлять менять пароли, т.к. это делает только хуже

     
     
  • 3.32, Аноним (7), 17:56, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    где там конкретно написано, что не надо менять пароли, ибо это не влияет на безопасность, где? дословно предложение такое покажите.
     

  • 1.6, нах. (?), 12:51, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +7 +/
    Ух ты, хоть где-то еще не окончательно победила идиотия!

     
  • 1.8, Аноним (8), 12:58, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +5 +/
    > Код инструментария написан на Си

    Годно! Отличный язык. Чтобы на нём писать, нужно обладать высокой квалификацией, следовательно эти утилиты не дураки писали.

     
     
  • 2.41, BrainFucker (ok), 19:08, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Когда это писали, большого выбора и не было.
     
     
  • 3.54, Ilnarildarovuch (?), 22:05, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Ник обо всем сразу рассказал :)
     

  • 1.10, Аноним (10), 13:54, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Да да. Я когда на старой работе работал, там была периодическая смена пароля. Каждый день вбивал на автомате. Но когда выходил из отпуска, несколько минут сидел в ступоре, т.к. с трудом вспоминал этот пароль.
     
     
  • 2.25, OpenEcho (?), 17:10, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >Но когда выходил из отпуска, несколько минут сидел в ступоре, т.к. с трудом вспоминал этот пароль.

    И зачем так было мучиться?
    Нет чтоб как все коллеги, записать пароль на стикере и прилипить к монитору /s

     
     
  • 3.30, Аноним (34), 17:30, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    На мониторе могут и заметить, отчитать и заставить сменить. Лучше под клавиатуру клеить
     
     
  • 4.37, 12yoexpert (ok), 18:28, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    лучше прошивать в клавиатуру и вешать на хоткей

    исходники прошивки, желательно, на гитхаб, там всё равно никто не найдёт

     

  • 1.12, Аноним (12), 14:48, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен

    Лучше бы принудительную ротацию сертификатов исследовали, чтобы ткнуть форум подАНБшников в их лицемерия.

     
     
  • 2.14, Аноним (5), 15:04, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Сертификат (централизованный) не для безопасности владельца, а для того, чтобы владелец имел ограниченный по времени доступ.
     
     
  • 3.31, Аноним (34), 17:32, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Сертификат никак не влияет на доступ. Он лишь для безопасности соединения, всё. Если не хочешь, используй самоподписанный или чистый http
     

  • 1.24, Аноним (24), 17:06, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > прирост безопасности от периодической смены паролей незначителен

    Дошло :D

     
     
  • 2.33, Аноним (7), 17:58, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    > Дошло :D

    альтернативно одаренным и пароли не нужны, зачем себя утруждать.

     

  • 1.50, квантовый ластик (?), 21:04, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Что может быть хуже устаревшего пароля? Это когда Эпол стабильно присылает тебе код подтверждения для входа в Эпол АйДи, когда он уже устарел 😅
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру