4.3. Passwortsicherheit

Passwörter werden von Red Hat Enterprise Linux als Hauptmethode zur Überprüfung der Benutzeridentität eingesetzt. Aus diesem Grund ist die Passwortsicherheit von erheblicher Bedeutung zum Schutz des Benutzers, der Workstation und dem Netzwerk.

Aus Sicherheitsgründen konfiguriert das Installationsprogramm das System so, dass ein Message-Digest Algorithm (MD5) und Shadow-Passwörter verwendet werden. Es wird dringend geraten, diese Einstellungen nicht zu verändern.

Wenn Sie die MD5-Passwörter während der Installation deaktivieren, wird das ältere Data Encryption Standard (DES) Format verwendet. Dieses Format beschränkt Passwörter auf 8 alphanumerische Zeichen (Satzzeichen und andere Sonderzeichen sind nicht erlaubt) und bietet bescheidene 56-bit Verschlüsselung.

Wenn Sie Shadow-Passwörter während der Installation deaktivieren, werden alle Passwörter als One-Way-Hash in der allgemein lesbaren Datei /etc/passwd hinterlegt, was das System für Cracker-Attacken offline anfällig macht. Erlangt ein Eindringling Zugang zum Computer als normaler Benutzer, kann dieser die Datei /etc/passwd auf seinen eigenen Rechner kopieren und eine beliebige Anzahl Passwort-Knack-Programme darüber laufen lassen. Befindet sich ein unsicheres Passwort in der Datei, ist es nur eine Frage der Zeit, bis diese vom Passwort-Cracker gefunden wird.

Shadow-Passwörter machen diese Art von Angriff unmöglich, da die Passwort-Hashes in der Datei /etc/shadow gespeichert werden, die nur vom Root-Benutzer gelesen werden kann.

Dies zwingt einen möglichen Angreifer, Passwörter von außen über ein Netzwerkservice auf dem Rechner wie zum Beispiel SSH oder FTP zu knacken. Diese Art Angriff ist wesentlich langsamer und hinterlässt offensichtliche Spuren, da hunderte gescheiterter Log-In Versuche in Systemdateien aufgezeichnet werden. Wenn jedoch der Cracker eine Attacke mitten in der Nacht startet, und Sie über schwache Passwörter verfügen, hat der Angreifer eventuell Zugang noch vor Morgengrauen.

Ein weiteres Problem über Format und Speicherung hinaus ist Inhalt. Das wichtigste, was ein Benutzer tun kann, um seinen Account gegen eine Passwort-Attacke zu schützen, ist das Erstellen eines sicheren Passwortes.

4.3.1. Erstellen sicherer Passwörter

Beim Erstellen von Passwörtern ist es hilfreich, die folgenden Richtlinien zu befolgen:

Was Sie nicht tun sollten:

  • Verwenden Sie nicht nur Wörter oder Zahlen — Sie sollten für ein Passwort nicht nur Wörter oder nur Zahlen verwenden.

    Hier einige Beispiele für schlechte Passwörter:

    • 8675309

    • juan

    • hackme

  • Verwenden Sie keine erkennbaren Wörter — Wörter wie Namen, im Wörterbuch stehende Wörter oder Begriffe aus Fernsehsendungen oder Romanen sollten vermieden werden, auch wenn diese am Ende mit Zahlen versehen werden.

    Hier einige Beispiele für schlechte Passwörter:

    • john1

    • DS-9

    • mentat123

  • Verwenden Sie keine Wörter in anderen Sprachen — Passwort- Knack-Programme prüfen oft gegen Wortlisten, die Wörterbücher in anderen Sprachen umfassen. Das Verlassen auf Fremdsprachen für sichere Passwörter ist häufig wenig hilfreich.

    Hier einige Beispiele für schlechte Passwörter:

    • cheguevara

    • bienvenido1

    • 1dumbKopf

  • Verwenden Sie keine Hacker-Begriffe — Wenn Sie denken, Sie sind auf der sicheren Seite, indem Sie Hacker-Begriffe — auch l337 (LEET) genannt — für Ihre Passwörter verwenden, sollten Sie sich das nocheinmal überlegen. Viele Wortlisten enthalten LEET-Begriffe.

    Hier einige Beispiele für schlechte Passwörter:

    • H4X0R

    • 1337

  • Verwenden Sie keine persönlichen Informationen — Halten Sie sich von persönlichen Informationen fern. Wenn der Angreifer Sie kennt, kann dieser Ihr Passwort leichter herausfinden, wenn das Passwort z.B. folgende Informationen enthält:

    Hier einige Beispiele für schlechte Passwörter:

    • Ihren Namen

    • Den Namen von Haustieren

    • Die Namen von Familienmitgliedern

    • Geburtstage

    • Ihre Telefonnummer oder Postleitzahl

  • Drehen Sie keine erkennbaren Wörter um — Gute Passwortprogramme drehen gemeinsprachliche Wörter um, das Invertieren von schlechten Passwörtern machen diese also nicht sicherer.

    Hier einige Beispiele für schlechte Passwörter:

    • R0X4H

    • nauj

    • 9-DS

  • Schreiben Sie sich Ihr Passwort nicht auf — Bewahren Sie Ihr Passwort niemals auf Papier auf. Es ist wesentlich sicherer, sich das Passwort zu merken.

  • Verwenden Sie nie das gleiche Passwort für alle Ihre Rechner — Es ist wichtig, dass Sie separate Passwörter für jede Maschine erstellen. So sind nicht alle Maschinen auf einen Schlag betroffen, falls ein System einer Attacke zum Opfer fällt.

Was Sie tun sollten:

  • Das Passwort sollte mindestens 8 Zeichen enthalten — Je länger das Passwort, desto besser. Wenn Sie MD5-Passwörter verwenden, sollten diese 15 Zeichen oder mehr enthalten. DES-Passwörter sollten die maximale Länge haben (acht Zeichen).

  • Mischen Sie Groß- und Kleinbuchstaben — In Red Hat Enterprise Linuxwerden Groß- und Kleinbuchstaben beachtet, mischen Sie daher Groß- und Kleinschreibung, um die Sicherheit des Passwortes zu erhöhen.

  • Mischen Sie Buchstaben und Zahlen — Das Hinzufügen von Zahlen, insbesondere in der Mitte des Passwortes (nicht nur am Anfang oder Ende), verstärkt die Sicherheit des Passwortes.

  • Verwenden Sie Sonderzeichen — Nicht-alphanumerische Zeichen wie z.B. &, $ und > können die Sicherheit des Passwortes erhöhen (dies gilt nicht, wenn Sie DES-Passwörter verwenden).

  • Wählen Sie ein Passwort, das Sie sich leicht merken können — selbst das beste Passwort hilft Ihnen nicht weiter, wenn Sie sich nicht daran erinnern können. Verwenden Sie daher Akronyme oder andere mnemonische Techniken, um sich das Passwort zu merken.

Durch all diese Regeln erscheint es schwierig, ein Passwort, das all die Kriterien für sichere Passwörter erfüllt, festzulegen. Glücklicherweise gibt es einige einfache Schritte, mit deren Hilfe Sie ein leicht merkbares, sicheres Passwort generieren können.

4.3.1.1. Methodologie zur Erstellung sicherer Passwörter

Es gibt viele verschiedene Methoden, sichere Passwörter zu erstellen. Eine der beliebtesten ist Akronyme. Zum Beispiel:

  • Überlegen Sie sich einen einprägsamen Satz, wie zum Beispiel:

    "over the hills and far away, to grandmother's house we go."

  • Verwandeln Sie dies als nächstes in ein Akronym (einschließlich der Satzzeichen).

    othafa,tghwg.

  • Machen Sie das Passwort komplexer, indem Sie Buchstaben durch Zahlen und Sonderzeichen austauschen. Ersetzen Sie zum Beispiel t durch 7 und a durch @:

    o7r@77w,7ghwg.

  • Machen Sie es noch komplexer, indem Sie mindestens einen Buchstaben groß schreiben, zum Beispiel H.

    o7r@77w,7gHwg.

  • Und bitte verwenden Sie nicht unser Beispielpasswort für Ihre Systeme.

Das Erstellen sicherer Passwörter ist von oberster Wichtigkeit, jedoch genauso wichtig ist das richtige Verwalten der Passwörter, insbesondere für Systemadministratoren in größeren Unternehmen. Im nächsten Abschnitt werden Verfahren für das Erstellen und Verwalten von Benutzerpasswörtern innerhalb eines Unternehmens beschrieben.

4.3.2. Erstellen von Benutzerpasswörtern innerhalb eines Unternehmens

Wenn es eine große Anzahl von Benutzern in einem Unternehmen gibt, haben Systemadministratoren zwei grundlegende Optionen die Verwendung sicherer Passwörter zu forcieren. Sie können entweder Passwörter für die Benutzer selbst erstellen, oder Benutzer ihre eigenen Passwörter erstellen lassen, und diese dann auf Akzeptanz prüfen.

Das Erstellen von Passwörtern für den Benutzer stellt sicher, dass die Passwörter sicher sind, kann aber schnell zu einer ausufernden Arbeit werden, wenn das Unternehmen wächst. Außerdem erhöht dies das Risiko, dass die Benutzer ihre Passwörter aufschreiben.

Aus diesen Gründen ziehen es Systemadministratoren vor, das die Benutzer ihre eigenen Passwörter erstellen, diese jedoch auf Sicherheit prüfen und in einigen Fällen Benutzer durch Password Aging dazu zu zwingen, ihre Passwörter in periodischen Abständen zu ändern.

4.3.2.1. Forcieren sicherer Passwörter

Um das Netzwerk vor Eindringlingen zu schützen, ist es sinnvoll für Systemadministratoren, sicherzustellen, dass die in einem Unternehmen verwendeten Passwörter sicher sind. Wenn Benutzer aufgefordert werden, ihre eigenen Passwörter zu erstellen oder zu ändern, können sie dies über die Befehlszeilenapplikation passwd tun, da dies Kenntnis über den Pluggable Authentication Manager (PAM) hat, und Sie daher über das PAM-Modul pam_cracklib.so prüfen können, ob ein Passwort leicht zu knacken oder zu kurz ist. Da PAM anpassbar ist, ist es möglich, weitere Passwort-Integritätsprüfer wie z.B. pam_passwdqc (erhältlich über http://www.openwall.com/passwdqc/) oder Ihr selbstgeschriebenes Modul zu integrieren. Eine Liste erhältlicher PAM-Module finden Sie unter http://www.kernel.org/pub/linux/libs/pam/modules.html. Weitere Informationen zu PAM finden Sie im KapitelPluggable Authentication Modules (PAM)imRed Hat Enterprise Linux Referenzhandbuch.

Es sollte jedoch beachtet werden, dass das Prüfen von Passwörtern zum Erstellungszeitpunkt nicht die effektivste Methode zum Herausfinden unsicherer Passwörter ist. Die Ausführung von Passwort-Cracking-Programmen über alle Passwörter innerhalb der Organisation ist wesentlich effektiver.

Es gibt eine Vielzahl von Passwort-Cracking-Programmen, die unter Red Hat Enterprise Linuxlaufen, jedoch nicht mit dem Betriebssystem ausgeliefert werden. Nachfolgend finden Sie eine Liste der beliebtesten Passwort-Cracking-Programme:

AnmerkungHinweis
 

Keines dieser Tools wird mit Red Hat Enterprise Linux ausgeliefert, und auch in keiner Weise von Red Hat, Inc. unterstützt.

  • John The Ripper — Ein schnelles und flexibles Passwort-Cracking-Programm. Es ermöglicht die Verwendung mehrerer Wortlisten und Brute-Force Passwort-Cracking. Es ist unter http://www.openwall.com/john/ erhältlich.

  • Crack — die vielleicht bekannteste Passwort-Cracking-Software. Crack ist auch sehr schnell, jedoch nicht so einfach zu verwenden wie John The Ripper. Es ist unter http://www.crypticide.org/users/alecm/ erhältlich.

  • SlurpieSlurpie funktioniert ähnlich wie John The Ripper und Crack, ist jedoch zum gleichzeitigen Laufen auf mehreren Computern entwickelt und erstellt so eine Distributed Passwort-Cracking Attacke. Es ist erhältlich unter http://www.ussrback.com/distributed.htm.

WarnungAchtung
 

Bitte holen Sie sich stets eine schriftliche Genehmigung ein, bevor Sie Passwörter innerhalb eines Unternehmens zu knacken versuchen.

4.3.2.2. Password Aging

Password Aging ist eine weitere Methode, die von Systemadministratoren verwendet wird, um unsichere Passwörter in einem Unternehmen zu verhindern. Password Aging bedeutet, dass Benutzer nach einer bestimmten Zeit (gewöhnlich 90 Tage) aufgefordert wird, ein neues Passwort festzulegen. Die Theorie dahinter ist, dass wenn ein Benutzer in periodischen Abständen dazu aufgefordert wird, sein Passwort zu ändern, ein geknacktes Passwort einem Cracker nur für eine gewisse Zeit nützlich ist. Der Nachteil von Password Aging ist jedoch, dass Benutzer eher dazu neigen, sich die Passwörter aufzuschreiben.

Es gibt zwei Programme für das Festlegen von Password Aging unter Red Hat Enterprise Linux: den Befehl chage oder die grafische Applikation User Manager (redhat-config-users).

Die Option -M des Befehls chage legt die maximale Anzahl von Tagen fest, für die das Passwort gültig ist. Wenn Sie zum Beispiel festlegen wollen, dass ein Benutzer-Passwort nach 90 Tagen ungültig wird, geben Sie den folgenden Befehl ein:

chage -M 90 <username>

Ersetzen Sie im oben genannten Befehl <username> mit dem Namen des Benutzers. Wenn Sie nicht möchten, dass das Passwort ungültig wird, verwenden Sie den Wert 99999 nach der Option -M (dies ist etwas mehr als 273 Jahre).

Wenn Sie die grafische Applikation User Manager für Password-Aging-Policies verwenden möchten, klicken Sie auf Hauptmenü (im Panel) => Systemeinstellungen => Benutzer und Gruppen oder geben Sie den Befehl redhat-config-users an einem Shell-Prompt ein (z.B. in einem XTerm- oder GNOME-Terminal). Klicken Sie auf den Tab Benutzer, wählen Sie den Benutzer aus der Liste aus und klicken Sie auf Eigenschaften im Menü (oder wählen Sie Datei => Eigenschaften aus dem Pull-Down Menü).

Klicken Sie dann auf Passwort-Info und geben Sie hier die Anzahl der Tage ein, bevor das Passwort ablaufen soll, wie in Abbildung 4-1 gezeigt.

Abbildung 4-1. Passwort-Info Panel

Weitere Informationen zu Benutzern und Gruppen (inklusive Anweisungen für das Erzwingen erstmaliger Passwörter) finden Sie im Kapitel Benutzer- und Gruppekonfiguration imRed Hat Enterprise Linux Handbuch zur System-Administration. Einen Überblick über Benutzer- und Ressourcenverwaltung finden Sie im Kapitel Verwalten von Benutzeraccounts und Zugang zu Ressourcen im Red Hat Enterprise Linux Introduction to System Administration.