plugin/general.c

   1 /*
   2  * The general entry points for password strength checking.
   3  *
   4  * Provides the strength_init, strength_check, and strength_close entry points
   5  * for doing password strength checking.  These are the only interfaces that
   6  * are called by the implementation-specific code, and all other checks are
   7  * wrapped up in those interfaces.
   8  *
   9  * Developed by Derrick Brashear and Ken Hornstein of Sine Nomine Associates,
  10  *     on behalf of Stanford University
  11  * Extensive modifications by Russ Allbery <eagle@eyrie.org>
  12  * Copyright 2006, 2007, 2009, 2012, 2013, 2014
  13  *     The Board of Trustees of the Leland Stanford Junior University
  14  *
  15  * See LICENSE for licensing terms.
  16  */
  17
  18 #include <config.h>
  19 #include <portable/krb5.h>
  20 #include <portable/system.h>
  21
  22 #include <ctype.h>
  23
  24 #include <plugin/internal.h>
  25 #include <util/macros.h>
  26
  27
  28 /*
  29  * Initialize the module.  Ensure that the dictionary file exists and is
  30  * readable and store the path in the module context.  Returns 0 on success,
  31  * non-zero on failure.  This function returns failure only if it could not
  32  * allocate memory or internal Kerberos calls that shouldn't fail do.
  33  *
  34  * The dictionary file should not include the trailing .pwd extension.
  35  * Currently, we don't cope with a NULL dictionary path.
  36  */
  37 krb5_error_code
  38 strength_init(krb5_context ctx, const char *dictionary,
  39               krb5_pwqual_moddata *moddata)
  40 {
  41     krb5_pwqual_moddata data = NULL;
  42     krb5_error_code code;
  43
  44     /* Allocate our internal data. */
  45     data = calloc(1, sizeof(*data));
  46     if (data == NULL)
  47         return strength_error_system(ctx, "cannot allocate memory");
  48     data->cdb_fd = -1;
  49
  50     /* Get minimum length and character information from krb5.conf. */
  51     strength_config_number(ctx, "minimum_different", &data->minimum_different);
  52     strength_config_number(ctx, "minimum_length", &data->minimum_length);
  53
  54     /* Get simple character class restrictions from krb5.conf. */
  55     strength_config_boolean(ctx, "require_ascii_printable", &data->ascii);
  56     strength_config_boolean(ctx, "require_non_letter", &data->nonletter);
  57
  58     /* Get complex character class restrictions from krb5.conf. */
  59     code = strength_config_classes(ctx, "require_classes", &data->rules);
  60     if (code != 0)
  61         goto fail;
  62
  63     /*
  64      * Try to initialize CDB and CrackLib dictionaries.  Both functions handle
  65      * their own configuration parsing and will do nothing if the
  66      * corresponding dictionary is not configured.
  67      */
  68     code = strength_init_cracklib(ctx, data, dictionary);
  69     if (code != 0)
  70         goto fail;
  71     code = strength_init_cdb(ctx, data);
  72     if (code != 0)
  73         goto fail;
  74
  75     /* Initialized.  Set moddata and return. */
  76     *moddata = data;
  77     return 0;
  78
  79 fail:
  80     if (data != NULL)
  81         strength_close(ctx, data);
  82     *moddata = NULL;
  83     return code;
  84 }
  85
  86
  87 /*
  88  * Check if a password contains only printable ASCII characters.
  89  */
  90 static bool
  91 only_printable_ascii(const char *password)
  92 {
  93     const char *p;
  94
  95     for (p = password; *p != '\0'; p++)
  96         if (!isascii((unsigned char) *p) || !isprint((unsigned char) *p))
  97             return false;
  98     return true;
  99 }
 100
 101
 102 /*
 103  * Check if a password contains only letters and spaces.
 104  */
 105 static bool
 106 only_alpha_space(const char *password)
 107 {
 108     const char *p;
 109
 110     for (p = password; *p != '\0'; p++)
 111         if (!isalpha((unsigned char) *p) && *p != ' ')
 112             return false;
 113     return true;
 114 }
 115
 116
 117 /*
 118  * Check if a password has a sufficient number of unique characters.  Takes
 119  * the password and the required number of characters.
 120  */
 121 static bool
 122 has_minimum_different(const char *password, long minimum)
 123 {
 124     size_t unique;
 125     const char *p;
 126
 127     /* Special cases for passwords of length 0 and a minimum <= 1. */
 128     if (password == NULL || password[0] == '\0')
 129         return minimum <= 0;
 130     if (minimum <= 1)
 131         return true;
 132
 133     /*
 134      * Count the number of unique characters by incrementing the count if each
 135      * subsequent character is not found in the previous password characters.
 136      * This algorithm is O(n^2), but passwords are short enough it shouldn't
 137      * matter.
 138      */
 139     unique = 1;
 140     for (p = password + 1; *p != '\0'; p++)
 141         if (memchr(password, *p, p - password) == NULL) {
 142             unique++;
 143             if (unique >= (size_t) minimum)
 144                 return true;
 145         }
 146     return false;
 147 }
 148
 149
 150 /*
 151  * Check a given password.  Takes a Kerberos context, our module data, the
 152  * password, the principal the password is for, and a buffer and buffer length
 153  * into which to put any failure message.
 154  */
 155 krb5_error_code
 156 strength_check(krb5_context ctx UNUSED, krb5_pwqual_moddata data,
 157                const char *principal, const char *password)
 158 {
 159     krb5_error_code code;
 160
 161     /* Check minimum length first, since that's easy. */
 162     if ((long) strlen(password) < data->minimum_length)
 163         return strength_error_tooshort(ctx, ERROR_SHORT);
 164
 165     /*
 166      * If desired, check whether the password contains non-ASCII or
 167      * non-printable ASCII characters.
 168      */
 169     if (data->ascii && !only_printable_ascii(password))
 170         return strength_error_generic(ctx, ERROR_ASCII);
 171
 172     /*
 173      * If desired, ensure the password has a non-letter (and non-space)
 174      * character.  This requires that people using phrases at least include a
 175      * digit or punctuation to make phrase dictionary attacks or dictionary
 176      * attacks via combinations of words harder.
 177      */
 178     if (data->nonletter && only_alpha_space(password))
 179         return strength_error_class(ctx, ERROR_LETTER);
 180
 181     /* If desired, check for enough unique characters. */
 182     if (data->minimum_different > 0)
 183         if (!has_minimum_different(password, data->minimum_different))
 184             return strength_error_class(ctx, ERROR_MINDIFF);
 185
 186     /*
 187      * If desired, check that the password satisfies character class
 188      * restrictions.
 189      */
 190     code = strength_check_classes(ctx, data, password);
 191     if (code != 0)
 192         return code;
 193
 194     /* Check if the password is based on the principal in some way. */
 195     code = strength_check_principal(ctx, data, principal, password);
 196     if (code != 0)
 197         return code;
 198
 199     /* Check the password against CDB and CrackLib if configured. */
 200     code = strength_check_cracklib(ctx, data, password);
 201     if (code != 0)
 202         return code;
 203     code = strength_check_cdb(ctx, data, password);
 204     if (code != 0)
 205         return code;
 206
 207     /* Success.  Password accepted. */
 208     return 0;
 209 }
 210
 211
 212 /*
 213  * Cleanly shut down the password strength plugin.  The only thing we have to
 214  * do is free the memory allocated for our internal data.
 215  */
 216 void
 217 strength_close(krb5_context ctx UNUSED, krb5_pwqual_moddata data)
 218 {
 219     struct class_rule *last, *tmp;
 220
 221     if (data == NULL)
 222         return;
 223     strength_close_cdb(ctx, data);
 224     last = data->rules;
 225     while (last != NULL) {
 226         tmp = last;
 227         last = last->next;
 228         free(tmp);
 229     }
 230     free(data->dictionary);
 231     free(data);
 232 }