Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - Passwortsicherheit

4.3. Passwortsicherheit

Passw�rter werden von Red Hat Enterprise Linux als Hauptmethode zur �berpr�fung der Benutzeridentit�t eingesetzt. Aus diesem Grund ist die Passwortsicherheit von erheblicher Bedeutung zum Schutz des Benutzers, der Workstation und dem Netzwerk.

Aus Sicherheitsgr�nden konfiguriert das Installationsprogramm das System so, dass ein Message-Digest Algorithm (MD5) und Shadow-Passw�rter verwendet werden. Es wird dringend geraten, diese Einstellungen nicht zu ver�ndern.

Wenn Sie die MD5-Passw�rter w�hrend der Installation deaktivieren, wird das �ltere Data Encryption Standard (DES) Format verwendet. Dieses Format beschr�nkt Passw�rter auf 8 alphanumerische Zeichen (Satzzeichen und andere Sonderzeichen sind nicht erlaubt) und bietet bescheidene 56-bit Verschl�sselung.

Wenn Sie Shadow-Passw�rter w�hrend der Installation deaktivieren, werden alle Passw�rter als One-Way-Hash in der allgemein lesbaren Datei /etc/passwd hinterlegt, was das System f�r Cracker-Attacken offline anf�llig macht. Erlangt ein Eindringling Zugang zum Computer als normaler Benutzer, kann dieser die Datei /etc/passwd auf seinen eigenen Rechner kopieren und eine beliebige Anzahl Passwort-Knack-Programme dar�ber laufen lassen. Befindet sich ein unsicheres Passwort in der Datei, ist es nur eine Frage der Zeit, bis diese vom Passwort-Cracker gefunden wird.

Shadow-Passw�rter machen diese Art von Angriff unm�glich, da die Passwort-Hashes in der Datei /etc/shadow gespeichert werden, die nur vom root-Benutzer gelesen werden kann.

Dies zwingt einen m�glichen Angreifer, Passw�rter von au�en �ber ein Netzwerkdienste auf dem Rechner wie zum Beispiel SSH oder FTP zu knacken. Diese Art Angriff ist wesentlich langsamer und hinterl�sst offensichtliche Spuren, da hunderte von gescheiterten Log-In Versuchen in Systemdateien aufgezeichnet werden. Wenn jedoch der Cracker eine Attacke mitten in der Nacht startet und Sie �ber schwache Passw�rter verf�gen, hat der Angreifer eventuell Zugang noch vor Morgengrauen.

Ein weiteres Problem �ber Format und Speicherung hinaus ist Inhalt. Das wichtigste, was ein Benutzer tun kann, um seinen Account gegen eine Passwort-Attacke zu sch�tzen, ist das Erstellen eines sicheren Passwortes.

4.3.1. Erstellen sicherer Passw�rter

Beim Erstellen von Passw�rtern ist es hilfreich, die folgenden Richtlinien zu befolgen:

Was Sie nicht tun sollten:

  • Verwenden Sie nicht nur W�rter oder Zahlen — Sie sollten f�r ein Passwort nicht nur W�rter oder nur Zahlen verwenden.

    Hier einige Beispiele f�r schlechte Passw�rter:

    • 8675309

    • juan

    • hackme

  • Verwenden Sie keine erkennbaren W�rter — W�rter wie Namen, im W�rterbuch stehende W�rter oder Begriffe aus Fernsehsendungen oder Romanen sollten vermieden werden, auch wenn diese am Ende mit Zahlen versehen werden.

    Hier einige Beispiele f�r schlechte Passw�rter:

    • john1

    • DS-9

    • mentat123

  • Verwenden Sie keine W�rter in anderen Sprachen — Passwort- Knack-Programme pr�fen oft gegen Wortlisten, die W�rterb�cher in anderen Sprachen umfassen. Das Verlassen auf Fremdsprachen f�r sichere Passw�rter ist h�ufig wenig hilfreich.

    Hier einige Beispiele f�r schlechte Passw�rter:

    • cheguevara

    • bienvenido1

    • 1dumbKopf

  • Verwenden Sie keine Hacker-Begriffe — Wenn Sie denken, Sie sind auf der sicheren Seite, indem Sie Hacker-Begriffe — auch l337 (LEET) genannt — f�r Ihre Passw�rter verwenden, sollten Sie sich das nocheinmal �berlegen. Viele Wortlisten enthalten LEET-Begriffe.

    Hier einige Beispiele f�r schlechte Passw�rter:

    • H4X0R

    • 1337

  • Verwenden Sie keine pers�nlichen Informationen — Halten Sie sich von pers�nlichen Informationen fern. Wenn der Angreifer Sie kennt, kann dieser Ihr Passwort leichter herausfinden, wenn das Passwort z.B. folgende Informationen enth�lt:

    Hier einige Beispiele f�r schlechte Passw�rter:

    • Ihren Namen

    • Den Namen von Haustieren

    • Die Namen von Familienmitgliedern

    • Geburtstage

    • Ihre Telefonnummer oder Postleitzahl

  • Drehen Sie keine erkennbaren W�rter um — Gute Passwortprogramme drehen gemeinsprachliche W�rter um, das Invertieren von schlechten Passw�rtern machen diese also nicht sicherer.

    Hier einige Beispiele f�r schlechte Passw�rter:

    • R0X4H

    • nauj

    • 9-DS

  • Schreiben Sie sich Ihr Passwort nicht auf — Bewahren Sie Ihr Passwort niemals auf Papier auf. Es ist wesentlich sicherer, sich das Passwort zu merken.

  • Verwenden Sie nie das gleiche Passwort f�r alle Ihre Rechner — Es ist wichtig, dass Sie separate Passw�rter f�r jede Maschine erstellen. So sind nicht alle Maschinen auf einen Schlag betroffen, falls ein System einer Attacke zum Opfer f�llt.

Was Sie tun sollten:

  • Das Passwort sollte mindestens 8 Zeichen enthalten — Je l�nger das Passwort, desto besser. Wenn Sie MD5-Passw�rter verwenden, sollten diese 15 Zeichen oder mehr enthalten. DES-Passw�rter sollten die maximale L�nge haben (acht Zeichen).

  • Mischen Sie Gro�- und Kleinbuchstaben — In Red Hat Enterprise Linuxwerden Gro�- und Kleinbuchstaben beachtet, mischen Sie daher Gro�- und Kleinschreibung, um die Sicherheit des Passwortes zu erh�hen.

  • Mischen Sie Buchstaben und Zahlen — Das Hinzuf�gen von Zahlen, insbesondere in der Mitte des Passwortes (nicht nur am Anfang oder Ende), verst�rkt die Sicherheit des Passwortes.

  • Verwenden Sie Sonderzeichen — Nicht-alphanumerische Zeichen wie z.B. &, $ und > k�nnen die Sicherheit des Passwortes erh�hen (dies gilt nicht, wenn Sie DES-Passw�rter verwenden).

  • W�hlen Sie ein Passwort, das Sie sich leicht merken k�nnen — selbst das beste Passwort hilft Ihnen nicht weiter, wenn Sie sich nicht daran erinnern k�nnen. Verwenden Sie daher Akronyme oder andere mnemonische Techniken, um sich das Passwort zu merken.

Durch all diese Regeln erscheint es schwierig, ein Passwort, das all die Kriterien f�r sichere Passw�rter erf�llt, festzulegen. Gl�cklicherweise gibt es einige einfache Schritte, mit deren Hilfe Sie ein leicht merkbares, sicheres Passwort generieren k�nnen.

4.3.1.1. Methodologie zur Erstellung sicherer Passw�rter

Es gibt viele verschiedene Methoden, sichere Passw�rter zu erstellen. Eine der beliebtesten ist Akronyme. Zum Beispiel:

  • �berlegen Sie sich einen einpr�gsamen Satz, wie zum Beispiel:

    "over the hills and far away, to grandmother's house we go."

  • Verwandeln Sie dies als n�chstes in ein Akronym (einschlie�lich der Satzzeichen).

    othafa,tghwg.

  • Machen Sie das Passwort komplexer, indem Sie Buchstaben durch Zahlen und Sonderzeichen austauschen. Ersetzen Sie zum Beispiel t durch 7 und a durch @:

    [email protected],7ghwg.

  • Machen Sie es noch komplexer, indem Sie mindestens einen Buchstaben gro� schreiben, zum Beispiel H.

    [email protected],7gHwg.

  • Und bitte verwenden Sie nicht unser Beispielpasswort f�r Ihre Systeme.

Das Erstellen sicherer Passw�rter ist von oberster Wichtigkeit, jedoch genauso wichtig ist das richtige Verwalten der Passw�rter, insbesondere f�r Systemadministratoren in gr��eren Unternehmen. Im n�chsten Abschnitt werden Verfahren f�r das Erstellen und Verwalten von Benutzerpassw�rtern innerhalb eines Unternehmens beschrieben.

4.3.2. Erstellen von Benutzerpassw�rtern innerhalb eines Unternehmens

Wenn es eine gro�e Anzahl von Benutzern in einem Unternehmen gibt, haben Systemadministratoren zwei grundlegende Optionen die Verwendung sicherer Passw�rter zu forcieren. Sie k�nnen entweder Passw�rter f�r die Benutzer selbst erstellen, oder Benutzer ihre eigenen Passw�rter erstellen lassen, und diese dann auf Akzeptanz pr�fen.

Das Erstellen von Passw�rtern f�r den Benutzer stellt sicher, dass die Passw�rter sicher sind, kann aber schnell zu einer ausufernden Arbeit werden, wenn das Unternehmen w�chst. Au�erdem erh�ht dies das Risiko, dass die Benutzer ihre Passw�rter aufschreiben.

Aus diesen Gr�nden ziehen es Systemadministratoren vor, das die Benutzer ihre eigenen Passw�rter erstellen, diese jedoch auf Sicherheit pr�fen und in einigen F�llen Benutzer durch Passwort-Aging dazu zu zwingen, ihre Passw�rter in periodischen Abst�nden zu �ndern.

4.3.2.1. Forcieren sicherer Passw�rter

Um das Netzwerk vor Eindringlingen zu sch�tzen, ist es sinnvoll f�r Systemadministratoren, sicherzustellen, dass die in einem Unternehmen verwendeten Passw�rter sicher sind. Wenn Benutzer aufgefordert werden, ihre eigenen Passw�rter zu erstellen oder zu �ndern, k�nnen sie dies �ber die Befehlszeilenapplikation passwd tun, da dies Kenntnis �ber den Pluggable Authentication Manager (PAM) hat, und Sie daher �ber das PAM-Modul pam_cracklib.so pr�fen k�nnen, ob ein Passwort leicht zu knacken oder zu kurz ist. Da PAM anpassbar ist, ist es m�glich, weitere Passwort-Integrit�tspr�fer wie z.B. pam_passwdqc (erh�ltlich �ber https://www.openwall.com/passwdqc/) oder Ihr selbstgeschriebenes Modul zu integrieren. Eine Liste erh�ltlicher PAM-Module finden Sie unter https://www.kernel.org/pub/linux/libs/pam/modules.html. Weitere Informationen zu PAM finden Sie im Kapitel Pluggable Authentication Modules (PAM) im Red Hat Enterprise Linux Referenzhandbuch.

Es sollte jedoch beachtet werden, dass das Pr�fen von Passw�rtern zum Erstellungszeitpunkt nicht die effektivste Methode zum Herausfinden unsicherer Passw�rter ist. Die Ausf�hrung von Passwort-Cracking-Programmen �ber alle Passw�rter innerhalb der Organisation ist wesentlich effektiver.

Es gibt eine Vielzahl an Passwort-Knack-Programmen, die unter Red Hat Enterprise Linux laufen, jedoch nicht mit dem Betriebssystem ausgeliefert werden. Nachfolgend finden Sie eine kurze Liste der beliebtesten Passwort-Knack-Programme:

AnmerkungHinweis
 

Keines dieser Tools wird mit Red Hat Enterprise Linux ausgeliefert, und auch in keiner Weise von Red Hat, Inc. unterst�tzt.

  • John The Ripper — Ein schnelles und flexibles Passwort-Cracking-Programm. Es erm�glicht die Verwendung mehrerer Wortlisten und Brute-Force Passwort-Cracking. Es ist unter https://www.openwall.com/john/ erh�ltlich.

  • Crack — die vielleicht bekannteste Passwort-Knack-Software. Crack ist auch sehr schnell, jedoch nicht so einfach zu verwenden wie John The Ripper. Es ist unter https://www.crypticide.org/users/alecm/ erh�ltlich.

  • SlurpieSlurpie funktioniert �hnlich wie John The Ripper und Crack, ist jedoch zum gleichzeitigen Laufen auf mehreren Computern entwickelt und erstellt so eine Distributed Passwort-Cracking Attacke. Es ist erh�ltlich unter https://www.ussrback.com/distributed.htm.

WarnungAchtung
 

Bitte holen Sie sich stets eine schriftliche Genehmigung ein, bevor Sie Passw�rter innerhalb eines Unternehmens zu knacken versuchen.

4.3.2.2. Password Aging

Password Aging ist eine weitere Methode, die von Systemadministratoren verwendet wird, um unsichere Passw�rter in einem Unternehmen zu verhindern. Password Aging bedeutet, dass Benutzer nach einer bestimmten Zeit (gew�hnlich 90 Tage) aufgefordert wird, ein neues Passwort festzulegen. Die Theorie dahinter ist, dass wenn ein Benutzer in periodischen Abst�nden dazu aufgefordert wird, sein Passwort zu �ndern, ein geknacktes Passwort einem Cracker nur f�r eine gewisse Zeit n�tzlich ist. Der Nachteil von Password Aging ist jedoch, dass Benutzer eher dazu neigen, sich die Passw�rter aufzuschreiben.

Es gibt zwei Programme f�r das Festlegen von Password Aging unter Red Hat Enterprise Linux: den Befehl chage oder die grafische Applikation User Manager (system-config-users).

Die Option -M des Befehls chage legt die maximale Anzahl von Tagen fest, f�r die das Passwort g�ltig ist. Wenn Sie zum Beispiel festlegen wollen, dass ein Benutzer-Passwort nach 90 Tagen ung�ltig wird, geben Sie den folgenden Befehl ein:

chage -M 90 <username>

Ersetzen Sie im oben genannten Befehl <username> mit dem Namen des Benutzers. Wenn Sie nicht m�chten, dass das Passwort ung�ltig wird, verwenden Sie den Wert 99999 nach der Option -M (dies ist etwas mehr als 273 Jahre).

Wenn Sie die grafische Applikation User Manager f�r Password-Aging-Policies verwenden m�chten, klicken Sie auf Hauptmen� (im Panel) => Systemeinstellungen => Benutzer und Gruppen oder geben Sie den Befehl system-config-users an einem Shell-Prompt ein (z.B. in einem XTerm- oder GNOME-Terminal). Klicken Sie auf den Tab Benutzer, w�hlen Sie den Benutzer aus der Liste aus und klicken Sie auf Eigenschaften im Men� (oder w�hlen Sie Datei => Eigenschaften aus dem Pull-Down Men�).

Klicken Sie dann auf Passwort-Info und geben Sie hier die Anzahl der Tage ein, bevor das Passwort ablaufen soll, wie in Abbildung 4-1 gezeigt.

Abbildung 4-1. Passwort-Info Panel

Weitere Informationen zu Benutzern und Gruppen (inklusive Anweisungen f�r das Erzwingen erstmaliger Passw�rter) finden Sie im Kapitel Benutzer- und Gruppekonfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration. Einen �berblick �ber Benutzer- und Ressourcenverwaltung finden Sie im Kapitel Verwalten von Benutzeraccounts und Zugang zu Ressourcen im Red Hat Enterprise Linux Einf�hrung in die System-Administration.

 
 
  Published under the terms of the GNU General Public License Design by Interspire