陰影口令

給出一個密碼口令，找不到一種算法可以將其反變換到普通文本口令 (普通文本口令是在P a s s w o r d :提示後鍵入的口令)。但是可以對口令進行猜測，將猜測的口令經單向算法變換成加密形成，然後將其與用戶的加密口令相比較。如果用戶口令是隨機選擇的，那么這種方法並不是很有用。但是用戶往往以非隨機方式選擇口令(配偶的姓名、街名、寵物名等)。一個經常重複的試驗是先得到一份口令檔案，然後用試探方法猜測口令。( G a r f i n k e l和S p a ff o r d〔1 9 9 1〕的第4章對U N I X口令及口令加密處理方案的歷史情況及細節進行了說明。)

為使企圖這樣做的人難以獲得原始資料 (加密口令)，某些系統將加密口令存放在另一個通常稱為陰影口令（shadow password）的檔案中。該檔案至少要包含用戶名和加密口令。與該口令相關的其他信息也可存放在該檔案中。例如，具有陰影口令的系統經常要求用戶在一定時間間隔後選擇一個新口令。這被稱之為口令時效，選擇新口令的時間間隔長度經常也存放在陰影口令檔案中。

不應是一般用戶可以讀取的。僅有少數幾個程式需要存取加密口令檔案，例如l o g i n ( 1 )和p a s s w d ( 1 )，這些程式常常設定-用戶- I D為r o o t。有了陰影口令後，普通口令檔案/ e t c / p a s s w d可由各用戶自由讀取。

一般在UNIX中，陰影口令檔案存儲在/etc/shadow中