Выпуск shadow-utils 4.19 с признанием устаревшим механизма ограничения времени действия паролей

01.01.2026 11:49

Доступен выпуск инструментария shadow-utils 4.19.0, включающего утилиты для управления учётными данными пользователей и групп, а также хранения паролей в отдельном файле /etc/shadow, доступном только пользователю root и группе shadow. В состав входят такие утилиты, как useradd, userdel, usermod, pwconv, groupadd, groupdel, groupmod, pwunconv, pwck, lastlog, su и login. Код инструментария написан на Си и распространяется под лицензией BSD.

Новая версия примечательна объявлением устаревшей функциональности, принуждающей пользователей менять пароль после истечения определённого времени. Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен, а принуждение к смене паролей приводит к использованию пользователями предсказуемых шаблонов. В утверждённом в 2025 году стандарте NIST SP 800-63B-4 не рекомендовано ограничивать время жизни пароля. В число устаревших переведены опции "-k" (--keep-tokens), "-n" (--mindays), "-x" (--maxdays), "-i" (--inactive) и "-w" (--warndays), а также флаги PASS_MIN_DAYS, PASS_MAX_DAYS, PASS_WARN_AGE, INACTIVE, sp_lstchg, sp_min, sp_max, sp_warn и sp_inact. Планов по удалению данных опций и флагов пока нет, речь только о пометке их устаревшими.

Из других значительных изменений в новой версии:

Запрещено использование в файлах конфигурации экранированных символов перевода строки.
Объявлена устаревшей поддержка хэшей SHA-1, в следующем выпуске опция '--with-sha-crypt' будет удалена.
В категорию устаревших и запланированных к удалению в будущих выпусках переведены утилиты groupmems и logoutd.
Реализовано блокирование использования некоторых опасных имён пользователей и групп, независимо от состояния опции "--badname". Например, имена, начинающиеся на "-" или содержащие служебные символы, такие как "#:;,/" и разные формы кавычек.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64541-shadow

Ключевые слова: shadow, password

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (37)

1.1, anonymous (??), 12:07, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Менять пароли - это всё ещё безопасно. Но только если пользователи действительно хотят менять пароли. А если не хотят, а их заставляют - то начинается итальянская забастовка. Когда пароли вроде бы меняются, а лучше бы не менялись.

2.3, онанист (?), 12:24, 01/01/2026 [^] [^^] [^^^] [ответить]

–1 +/–

Менять пароли - это всё ещё безопасно.

примерно так же, как ключи к замку.

2.4, Аноним (4), 12:39, 01/01/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Смысл менять пароли был только если один пароль используется в нескольких местах, если пароль уникален и надежен то смена на безопасность не влияет.

3.7, Аноним (7), 12:52, 01/01/2026 [^] [^^] [^^^] [ответить]	–3 +/–
> если пароль уникален и надежен то смена на безопасность не влияет. Влияет, вот я запустил условный брутфорс и мой пароль начинается там на символ "k", а тем временем атакующий еще только брутфорсит символ "g", вот взял сменил пароль и он начинается уже на символ "a", то есть атакующий уже проверял данный пароль, в таком случае пробрутфорсит до "конца" и не наткнется на пароль :)

4.9, penetrator (?), 13:53, 01/01/2026 [^] [^^] [^^^] [ответить]	+3 +/–
если пароль уникальный и случайный длиной около 20 символов (например c1PuKrnmBYsfievymPx - энтропия 113 бит), то перебирать ты его будешь даже имея все мощности планеты больше чем текущий возраст Вселенной а если пароль у тебя linuxforever то конечно смысла в таком паароле нет вообще

5.13, Аноним (7), 15:00, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
> энтропия 113 бит ну квантовый за 2^56 попыток отгадает если не быстрее :)

6.15, Аноним (15), 16:24, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
Смотрел ролик страшилку, что когда квантовые компьютеры появятся. То самое страшное шифрование станет бессмысленным.

7.22, Аноним (7), 17:04, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> То самое страшное шифрование станет бессмысленным. Ваше шифрование и без квантового - бессмысленное :) наивный

8.38, 12yoexpert (ok), 18:30, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
ты лучше напиши, куда деньги нести, а то всё блаблабла... текст свёрнут, показать

9.40, Tty4 (?), 18:46, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
Что за наркотический угар Чтобы взломать пароль с помощью квантового компьютера... текст свёрнут, показать

6.19, 12yoexpert (ok), 16:52, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
ну так беги покупать акции контор, которые утверждают подобное. разбогатеешь.

7.21, Аноним (7), 17:03, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> ну так беги покупать зачем? я уже свой создал :)

8.34, Аноним (34), 18:26, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
Свой квантовый комп ... текст свёрнут, показать

9.36, 12yoexpert (ok), 18:27, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
это какая-то новая игра в ясельках... текст свёрнут, показать

8.35, 12yoexpert (ok), 18:26, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
аа, так твои акции нужно покупать, понял у тебя превосходство уже или уже завтра... текст свёрнут, показать

4.11, Аноним (11), 14:37, 01/01/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Удачи побрутить тот же scrypt, лол.

5.23, Аноним (7), 17:05, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
зачем, если мне достаточно найти коллизию :)

6.26, Аноним (11), 17:20, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
> найти коллизию Удачи х2. Хоть бы почитал про PBKDF.

7.29, Аноним (7), 17:29, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> Хоть бы почитал про PBKDF. Это просто механизм, все упирается в вашу хеш функцию, а коллизия это неизбежность любой хеш функции.

8.39, 12yoexpert (ok), 18:34, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
биток уже хакнул манку доел ... текст свёрнут, показать

2.5, Аноним (5), 12:49, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> итальянская забастовка [T]OTP как терминальная стадия

3.16, Аноним (15), 16:26, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
TOTP вполне себе хорошо как второй фактор, не понял при чем тут итальянская забастовка? Другое дело что для входа в винду никто не просит второй фактор.

4.20, Аноним (5), 16:58, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
Одноразовый пароль - это как раз крайний случай (терминальная стадия) принудительной смены пароля. TOTP - это не фактор. Фактор - владение асимметричным секретом, предположительно неизвлекаемым с физического носителя (настоящий фактор!), на основе которого генерятся "человекочитаемые" пароли. Вопрос: зачем нужно ослаблять криптографию, когда уже есть вся необходимая асимметрия?

5.28, Аноним (34), 17:28, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
Для тебя тогда есть Passkeys, там как-раз ничего не генерится, а используется ассиметричный секрет

2.27, OpenEcho (?), 17:28, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
> Менять пароли - это всё ещё безопасно. NIST SP 800-63B с вами не согласен. Нет смысла без причины заставлять менять пароли, т.к. это делает только хуже

3.32, Аноним (7), 17:56, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
где там конкретно написано, что не надо менять пароли, ибо это не влияет на безопасность, где? дословно предложение такое покажите.

1.6, нах. (?), 12:51, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Ух ты, хоть где-то еще не окончательно победила идиотия!

1.8, Аноним (8), 12:58, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> Код инструментария написан на Си Годно! Отличный язык. Чтобы на нём писать, нужно обладать высокой квалификацией, следовательно эти утилиты не дураки писали.

1.10, Аноним (10), 13:54, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Да да. Я когда на старой работе работал, там была периодическая смена пароля. Каждый день вбивал на автомате. Но когда выходил из отпуска, несколько минут сидел в ступоре, т.к. с трудом вспоминал этот пароль.

2.25, OpenEcho (?), 17:10, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
>Но когда выходил из отпуска, несколько минут сидел в ступоре, т.к. с трудом вспоминал этот пароль. И зачем так было мучиться? Нет чтоб как все коллеги, записать пароль на стикере и прилипить к монитору /s

3.30, Аноним (34), 17:30, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
На мониторе могут и заметить, отчитать и заставить сменить. Лучше под клавиатуру клеить

4.37, 12yoexpert (ok), 18:28, 01/01/2026 [^] [^^] [^^^] [ответить]	+/–
лучше прошивать в клавиатуру и вешать на хоткей исходники прошивки, желательно, на гитхаб, там всё равно никто не найдёт

1.12, Аноним (12), 14:48, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен Лучше бы принудительную ротацию сертификатов исследовали, чтобы ткнуть форум подАНБшников в их лицемерия.

2.14, Аноним (5), 15:04, 01/01/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Сертификат (централизованный) не для безопасности владельца, а для того, чтобы владелец имел ограниченный по времени доступ.

3.31, Аноним (34), 17:32, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Сертификат никак не влияет на доступ. Он лишь для безопасности соединения, всё. Если не хочешь, используй самоподписанный или чистый http

1.24, Аноним (24), 17:06, 01/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> прирост безопасности от периодической смены паролей незначителен Дошло :D

2.33, Аноним (7), 17:58, 01/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> Дошло :D альтернативно одаренным и пароли не нужны, зачем себя утруждать.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: