Passwdqc 2.0.0 llega con soporte de filtrado de contraseñas externas
Se ha lanzado la nueva versión de passwdqc 2.0.0, en la cual la principal novedad es el soporte para archivos de filtrado de contraseñas externos, incluidos archivos binarios, que actualmente son una implementación del filtro cuco mejorado.
Para quienes desconocen de passwdqc, deben saber que este es un conjunto de herramientas para controlar la complejidad de contraseñas y frases de contraseña, que incluye el módulo pam_passwdqc, pwqcheck, pwqfilter (agregado en esta versión) y pwqgen para uso manual o de script, y la biblioteca libpasswdqc.
Ambos sistemas con PAM (la mayoría de Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX) y los sistemas sin PAM son compatibles (se admite la interfaz de verificación de contraseña en OpenBSD, se adjunta un enlace para usar pwqcheck desde PHP, hay una versión de pago para Windows y los programas y la biblioteca también se pueden utilizar en otros sistemas).
passwdqc hace un muy buen trabajo al no pasar contraseñas débiles incluso sin usar archivos externos. Su uso puede mejorar aún más la eficiencia de passwdqc con poco o ningún inconveniente adicional para los usuarios, o pueden relajar otras restricciones.
El NIST recomienda esta verificación de las contraseñas seleccionadas por el usuario frente a filtraciones conocidas. Y para el proyecto Openwall, esta es una oportunidad potencial para financiar el desarrollo de passwdqc (y no solo) a través de la venta de filtros prefabricados, sin limitar a los usuarios en la capacidad de crear filtros por su cuenta utilizando el programa pwqfilter publicado bajo una licencia gratuita.
El programa pwqfilter funciona con cadenas arbitrarias y se puede usar en lugar de grep para muchos propósitos más allá de las contraseñas y la seguridad. Con esto en mente, pwqfilter tiene varias opciones similares a las que se encuentran en grep, evita usar nombres de opciones que entren en conflicto con los de grep y usa los mismos códigos de retorno que grep.
Principales novedades de passwdqc 2.0.0
Tal y como se mencionó al inicio la principal novedad de esta nueva versión es el soporte para archivos de filtrado de contraseñas externos y es que en comparación con versiones anteriores, se garantiza que dicho filtro no dejará pasar ninguna de las contraseñas prohibidas, pero ocasionalmente puede dar lugar a falsos positivos, cuya probabilidad es insignificante con la configuración y el algoritmo utilizados en passwdqc.
La verificación de la contraseña para detectar la presencia de un filtro no requiere más de dos accesos de lectura aleatorios desde el disco, lo cual es muy rápido y, por regla general, no crea una carga excesiva en el servidor.
Para crear y trabajar con filtros binarios, se ha agregado el programa pwqfilter a passwdqc, que permite crear un filtro tanto de la lista de contraseñas como de sus hashes MD4 o NTLM.
El soporte para hashes NTLM permite importar contraseñas de la lista HIBP (Pwned Passwords)distribuido en esta forma. Se ha invertido mucho trabajo en optimizar pwqfilter en términos de velocidad, compacidad de los filtros resultantes y nivel de falsas alarmas.
Por ejemplo, crear un filtro de cuco con un factor de carga del 98% a partir de un archivo de 21 GiB (22 GB) pwned-passwords-ntlm-order-by-hash-v7.txt con más de 613 millones de líneas toma aproximadamente 8 minutos en un Core Procesador i7-4770K .
El filtro resultante es de 2,3 GiB (2,5 GB) y tiene una tasa de falsos positivos de aproximadamente 1 en 1,15 mil millones. Con un factor de carga objetivo más bajo, el filtro se puede crear mucho más rápido y tendrá tasas de falsos positivos aún más bajas, pero el tamaño del filtro será mayor.
Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva versión liberada puedes consultar los detalles en el siguiente enlace.
¿Como instalar Passwdqc e Ubuntu y derivados?
Para los que estén interesados en poder instalar Passwdqc en su sistema, podrán hacerlo siguiendo las instrucciones que compartimos a continuación.
El paquete como tal se encuentra dentro de los repositorios de Ubuntu, aun que la nueva version aún no se ha actualizado dentro de los repositorios, solo es cuestión de esperar algunos dias.
Para su instalación solo debemos abrir una terminal y teclear lo siguiente:
sudo apt-get install passwdqc