Можно ли для одной учетной записи установить два разных пароля?

Question

[ptr128]

Можно ли для Active Directory/LDAP/Kerberos в Windows и/или Linux установить два разных пароля?
Например, на латинице и в кириллице. Чтобы на каком регистре ни набрал пароль, не потребовалось его повторять, если он правильный.

Comments

[Lynn «Кофеман»]

Можно.

Например https://unix.stackexchange.com/a/90702

правда про кириллицу не уверен

[ptr128]

Спасибо! Раз LDAP это поддерживает, то вполне применимо как к AD на Samba, так и в Linux.
Буду пробовать.

[aleks-th]

Не понимаю экономии на тыкание один раз на переключении раскладки...
Даже за 1000 наборов паролей, при том, что нужно будет тыкать каждый раз, это сэкономит меньше минуты....
Реально еще меньше..

[ptr128]

aleks-th, Экономия не на переключении раскладки, а на ожидании возможности повторного ввода пароля, если забыл переключить раскладку.

[Кот Абсолютный]

ptr128, LDAP поддерживает атрибут "множество значений". Что вовсе не означает, что оба значения будут использоваться одновременно. В винде понятия не имею, как это реализовать, в линухе можно поглядеть исходник pam_ldap.so или допилить его.

[ptr128]

CityCat4, В RFC-4519 явно сказано: "During transitional periods, like the last and first day of the periods, it may be necessary to allow two passwords for the two consecutive periods to be valid in the system."
pam_ldap тут вообще не при чем, так как проверка пароля (точнее его хеша) производится на стороне LDAP сервера.
А с Windows проблемы возможны, только когда DC недоступен. В остальном не вижу проблем, если AD на Samba. Просто кешироваться будет последний пароль, как будто он был изменен в AD.

[aleks-th]

ptr128, а не забывать ?
Тренировать память не вариант ?

[ptr128]

aleks-th, гордитесь. Вы - уникум. Я еще ни разу в жизни не встречал человека, который бы не забывал иногда переключить раскладку перед вводом пароля )))
А если серьезно, то Ваша рекомендация сродни рекомендации тренироваться, чтобы вскапывать огород лопатой, а не мотоблоком или трактором. Техника для того и существует, чтобы не надо было что-то тренировать, уделяя больше времени и внимания чему-то иному.

[aleks-th]

ptr128, автоматизм. Память тут не причем вообще..
У меня парольные фразы состоят из 20-25 символов примерно, специально делал такие в разных регистрах, чтобы сочетания слепой печати тренировать.
Раз в полгода меняю их на другие которые медленнее всего могу набирать.
Наберешь ее 1000 раз и она уже на автомате за секунду набирается.

Это краткосрочно может и тратит чуть больше времени но в долгосрочной перспективе, оно наоборот экономит колоссальное количество времени. Так как когда возрастает скорость слепой печати, у тебя скорость всей работы возрастает в разы...

Это примерно как, если пользоваться переводчиком вместо изучения иностранного языка, типа кажется что экономишь время, как итого если посмотреть общую картину, теряешь еще больше времени.

Или как в мастерской, вроде теряешь время каждый раз раскладывая инструменты, и материалы по местам, а в итого - экономишь его в разы больше...

Я не в чем не убеждаю, просто показываю как совершая какие-то с виду бесполезные действия, можно сэкономить кучу времени...

[ptr128]

aleks-th,

делал такие в разных регистрах

В моей сфере деятельности это неприменимо, так как порой приходится пользоваться компьютерами, где раскладка кириллицы не установлена.

20-25 символов
за секунду набирается

Почему не зарегистрировали свой мировой рекорд в 1500 знаков в минуту? А то до сих пор значится всего 955 знаков в минуту на QWERTY клавиатуре, что даже меньше, чем 16 знаков в секунду.

Я, после службы в армии в телеграфной роте, где в учебке полгода учили печатать вслепую целыми днями, на пике выдавал всего лишь около 600 знаков в минуту (до 10 знаков в секунду). Сейчас, без ежедневных тренировок, с трудом выдаю 450 знаков в минуту (7.5 знаков в секунду). При чем это считается вполне профессиональным уровнем. Так что, простите, у меня есть все основания считать, что Вы заврались )))

[aleks-th]

ptr128, Это по русски называется, гипербола - небольшое преувеличение.
Реально я выдам ну максимум 400 знаков сейчас, я уже старый мне не до скорости )))) , на паролях быстрее конечно там все на автомате.
Ну не секунда ну три секунды...

Для того чтобы обозначить, что времени на пароли тратиться ну настолько мало, что им легко можно пренебречь.
Но я как делаю, так и написал.

Тем более тебе с твоими навыками, и твоей скоростью набора, нет смысла заморачиваться, экономя одно переключение - это примерно , это не имеет смысла экономить - 1\7 секунды.
Это так просто мое мнение.

Answer 1

[ky0]

Можно, если хэши обоих паролей совпадают.

Comments

[ptr128]

Как выяснилось, можно, даже если не совпадают: https://www.rfc-editor.org/rfc/rfc4519#section-2.41

[ky0]

ptr128, а если совпадают - и LDAP даже не нужен :)

Answer 2

[AlexVWill]

Кстати, я в Linux через PAM сделал просто пинкод, т.е. для sudo/root/login - нормальный сложный пароль, а для скринсейвера - 6 значный pin, это удобно, т.к. не надо сложный пароль постоянно вводить, когда от монитора отошел на несколько минут.

Answer 3

[mayton2019]

Я думаю что криптографы и безопасники найдут в этой схеме много недостатков.
И риски будут больше чем условные удобства которые вы получаете.

Answer 4

[ptr128]

Если вдруг такое случится, то ИБ просто повысит минимальную длину пароля с 16 до 17 символов, увеличив криптостойкость пароля на два порядка, что с лихвой компенсирует снижение криптостойкости в два раза )