Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
188 13 Benutzerverwaltung<br />
Kennwort Das verschlüsselte Kennwort <strong>des</strong> Benutzers. Ein leerer Eintrag bedeutet<br />
in der Regel, dass der Benutzer sich ohne Kennwort anmelden kann. Steht<br />
hier ein Stern oder ein Ausrufungszeichen, kann der betreffende Benutzer<br />
sich nicht anmelden. Es ist auch üblich, Benutzerkonten zu sperren, ohne sie<br />
komplett zu löschen, indem man einen Stern oder ein Ausrufungszeichen<br />
an den Anfang <strong>des</strong> zugehörigen Kennworts setzt.<br />
Änderung Das Datum der letzten Änderung <strong>des</strong> Kennworts, in Tagen seit dem<br />
1. Januar 1970.<br />
Min Minimale Anzahl von Tagen, die seit der letzten Kennwortänderung vergangen<br />
sein müssen, damit das Kennwort wieder geändert werden kann.<br />
Max Maximale Anzahl von Tagen, die ein Kennwort ohne Änderung gültig bleibt.<br />
Nach Ablauf dieser Frist muss der Benutzer sein Kennwort ändern.<br />
Warnung <strong>Die</strong> Anzahl von Tagen vor dem Ablauf der ⟨Max⟩-Frist, an denen der<br />
Benutzer eine Warnung erhält, dass er sein Kennwort bald ändern muss,<br />
weil die maximale Anzahl abläuft. <strong>Die</strong> Meldung erscheint in der Regel beim<br />
Anmelden.<br />
Frist <strong>Die</strong> Anzahl von Tagen ausgehend vom Ablauf der ⟨Max⟩-Frist, nach der<br />
das Konto automatisch gesperrt wird, wenn der Benutzer nicht vorher sein<br />
Kennwort ändert. (In der Zeit zwischen dem Ende der ⟨Max⟩-Frist und dem<br />
Ende dieser Frist kann der Benutzer sich anmelden, muss aber sofort sein<br />
Kennwort ändern.)<br />
Sperre Das Datum, an dem das Konto definitiv gesperrt wird, wieder in Tagen seit<br />
dem 1. Januar 1970.<br />
Kurz noch ein paar Anmerkungen zum Thema »Verschlüsselung von Kennwörtern«.<br />
Man könnte auf den Gedanken kommen, dass die Kennwörter, wenn<br />
sie verschlüsselt sind, auch wieder entschlüsselt werden können. Einem cleveren<br />
Cracker, dem die Datei /etc/shadow in die Hände fällt, würden so sämtliche Benutzerkonten<br />
<strong>des</strong> Systems offen stehen. Allerdings ist das in Wirklichkeit nicht so,<br />
denn die »Verschlüsselung« der Kennwörter ist eine Einbahnstraße: Es ist nicht<br />
möglich, aus der »verschlüsselten« Darstellung eines <strong>Linux</strong>-Kennworts die unverschlüsselte<br />
zurückzugewinnen, da das verwendete Verfahren das wirkungsvoll<br />
verhindert. <strong>Die</strong> einzige Möglichkeit, die »Verschlüsselung« zu »knacken«, besteht<br />
darin, potenzielle Kennwörter zur Probe zu verschlüsseln und zu schauen, ob dasselbe<br />
herauskommt wie das, was in /etc/shadow steht.<br />
B Nehmen wir mal an, Sie wählen die Zeichen Ihres Kennworts aus den 95<br />
sichtbaren Zeichen <strong>des</strong> ASCII (es wird zwischen Groß- und Kleinschreibung<br />
unterschieden). Das bedeutet, es gibt 95 verschiedene einstellige<br />
Kennwörter, 95 2 = 9025 zweistellige und so weiter. Bei acht Stellen sind<br />
Sie schon bei 6,6 Billiarden (6, 6 ⋅ 10 15 ) Möglichkeiten. Angenommen, Sie<br />
könnten 250.000 Kennwörter in der Sekunde zur Probe verschlüsseln (auf<br />
heutiger Hardware absolut nicht unrealistisch). Dann müßten Sie rund<br />
841 Jahre einkalkulieren, um alle Möglichkeiten durchzuprobieren.<br />
B<br />
Aber fühlen Sie sich nicht zu sicher. Das traditionelle Verfahren (meist<br />
»crypt« oder »DES« genannt – letzteres, weil es ähnlich zu, aber nicht identisch<br />
mit, dem gleichnamigen Verschlüsselungsverfahren ist 3 ) sollten Sie<br />
nicht mehr verwenden, wenn Sie es vermeiden können. Es hat nämlich die<br />
3 Wenn Sie es genau wissen müssen: Das Klartext-Kennwort fungiert als Schlüssel (!) zur Verschlüsselung<br />
einer konstanten Zeichenkette (typischerweise einem Vektor von Nullbytes). Ein DES-Schlüssel<br />
hat 56 Bit, das sind gerade 8 Zeichen zu je 7 Bit (denn das höchstwertige Bit im Zeichen wird ignoriert).<br />
<strong>Die</strong>ser Prozess wird insgesamt fünfundzwanzigmal wiederholt, wobei immer die Ausgabe als neue<br />
Eingabe dient. Genau genommen ist das verwendete Verfahren auch nicht wirklich DES, sondern an<br />
ein paar Stellen abgewandelt, damit es weniger leicht möglich ist, aus kommerziell erhältlichen DES-<br />
Verschlüsselungs-Chips einen Spezialcomputer zum Knacken von Kennwörtern zu bauen.<br />
Copyright © 2012 <strong>Linup</strong> <strong>Front</strong> GmbH