Linux 의 새 비밀번호 유사도 검사 원리
Source
Evernote/Inbox/How does Linux Know That a New Password is Similar to the Old One.md
Summary
Linux 시스템이 새 비밀번호가 이전 비밀번호와 너무 유사하다고 판단하는 이유는, passwd 명령어 실행 시 사용자가 입력한 ‘이전 비밀번호’와 ‘새 비밀번호’가 모두 평문(plain text) 상태로 전달되기 때문입니다. 시스템은 최종 저장 시에만 해싱을 수행하므로, 저장 전 단계에서 두 평문을 직접 비교할 수 있습니다. 이 과정은 PAM(Pluggable Authentication Modules) 시스템, 특히 pam_cracklib 모듈이 담당하며, 단순 유사도 외에도 회문 여부, 편집 거리(edit distance) 등을 분석하여 사전 공격(dictionary attack)에 대한 저항성을 높입니다.
Key Points
- 비밀번호는 저장 시에만 해싱되며, 변경 시 입력된 이전/새 비밀번호는 평문으로 비교 가능합니다.
- 비밀번호 정책 검증은 PAM 시스템의
pam_cracklib모듈이 수행합니다. - 유사도 검사 외에도 회문, 편집 거리 등 다양한 약점 검사를 통해 보안 강화를 도모합니다.