Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
13.2 Benutzer- und Gruppendaten 189<br />
B<br />
B<br />
A<br />
unangenehme Eigenschaft, nur die ersten acht Zeichen je<strong>des</strong> Kennworts zu<br />
bearbeiten, und der clevere Cracker kann inzwischen genug Plattenplatz<br />
kaufen, um jedenfalls die gängigsten 50 Millionen (oder so) Kennwörter<br />
»auf Vorrat« zu verschlüsseln. Zum »Knacken« muss er so nur noch in seinem<br />
Vorrat nach der verschlüsselten Form suchen, was sehr schnell geht,<br />
und kann dann einfach den Klartext ablesen.<br />
Um das Ganze noch etwas aufwendiger zu machen, wird beim Verschlüsseln<br />
eines neu eingegebenen Kennworts traditionell noch ein zufälliges Element<br />
addiert (das sogenannte salt), das dafür sorgt, dass eine von 4096 Möglichkeiten<br />
für das verschlüsselte Kennwort gewählt wird. Der Hauptzweck<br />
<strong>des</strong> salt besteht darin, »Zufallstreffer« zu vermeiden, die sich ergeben, wenn<br />
Benutzer X aus irgendwelchen Gründen einen Blick auf den Inhalt von /etc/<br />
shadow wirft und feststellt, dass sein verschlüsseltes Kennwort genauso aussieht<br />
wie das von Benutzer Y (so dass er sich mit seinem Klartextkennwort<br />
auch als Benutzer Y anmelden kann). Als angenehmer Nebeneffekt wird<br />
der Plattenplatz für das Cracker-Wörterbuch aus dem vorigen Absatz um<br />
den Faktor 4096 in die Höhe getrieben.<br />
<strong>Die</strong> gängige Methode zur Kennwortverschlüsselung basiert heute auf dem<br />
MD5-Algorithmus, erlaubt beliebig lange Kennwörter und verwendet ein<br />
48-Bit-salt statt den traditionellen 12 Bit. Netterweise ist das Verfahren auch<br />
wesentlich langsamer zu berechnen als »crypt«, was für den üblichen Zweck<br />
– die Prüfung beim Anmelden – ohne Bedeutung ist (man kann immer noch<br />
ein paar hundert Kennwörter pro Sekunde verschlüsseln), aber die cleveren<br />
Cracker schon behindert. (Sie sollten sich übrigens nicht davon irre machen<br />
lassen, dass Kryptografen das MD5-Verfahren als solches heutzutage wegen<br />
seiner Unsicherheit verpönen. Für die Anwendung zur Kennwortverschlüsselung<br />
ist das völlig irrelevant.)<br />
Von den verschiedenen Parametern zur Kennwortverwaltung sollten Sie<br />
sich nicht zuviel versprechen. Sie werden zwar von der Login-Prozedur auf<br />
der Textkonsole befolgt, aber ob sie an anderen Stellen im System (etwa<br />
beim grafischen Anmeldebildschirm) genauso beachtet werden, ist systemabhängig.<br />
Ebenso bringt es in der Regel nichts, den Anwendern in kurzen<br />
Abständen neue Kennwörter aufzuzwingen – meist ergibt sich dann<br />
eine Folge der Form susi1, susi2, susi3, … oder sie alternieren zwischen zwei<br />
Kennwörtern. Eine Min<strong>des</strong>tfrist gar, die verstreichen muss, bevor ein Benutzer<br />
sein Kennwort ändern kann, ist geradezu gefährlich, weil sie einem<br />
Cracker möglicherweise ein »Zeitfenster« für unerlaubte Zugriffe einräumt,<br />
selbst wenn der Benutzer weiß, dass sein Kennwort kompromittiert wurde.<br />
Das Problem, mit dem Sie als Administrator zu kämpfen haben, ist in der Regel<br />
nicht, dass Leute versuchen, die Kennwörter auf Ihrem System mit »roher Gewalt«<br />
zu knacken. Viel erfolgversprechender ist in der Regel sogenanntes social<br />
engineering. Um Ihr Kennwort zu erraten, beginnt der clevere Cracker natürlich<br />
nicht mit a, b, und so weiter, sondern mit den Vornamen Ihres Ehegesponses, Ihrer<br />
Kinder, Ihrem Autokennzeichen, dem Geburtsdatum Ihres Hun<strong>des</strong> et cetera.<br />
(Wir wollen Ihnen natürlich in keiner Weise unterstellen, dass Sie so ein dummes<br />
Kennwort verwenden. Neinnein, Sie doch ganz bestimmt nicht! Bei Ihrem Chef<br />
sind wir uns da allerdings schon nicht mehr ganz so sicher …) Und dann gibt es<br />
da natürlich noch das altgediente Mittel <strong>des</strong> Telefonanrufs: »Hallo, hier ist die IT-<br />
Abteilung. Wir müssen unsere Systemsicherheitsmechanismen testen und brauchen<br />
dazu ganz dringend Ihren Benutzernamen und Ihr Kennwort.«<br />
Es gibt diverse Mittel und Wege, <strong>Linux</strong>-Kennwörter sicherer zu machen. Neben<br />
dem oben genannten verbesserten Verfahren, das die meisten <strong>Linux</strong>-Systeme<br />
heute standardmäßig anwenden, gehören dazu Ansätze wie (zu) simple Kennwörter<br />
schon bei der Vergabe anzumeckern oder proaktiv Software laufen zu lassen,<br />
die schwache verschlüsselte Kennwörter zu identifizieren versucht, so wie<br />
Copyright © 2012 <strong>Linup</strong> <strong>Front</strong> GmbH