[unix-ws] Sicheres Passwort erzwingen

Jens Rühmkorf ruehmkorf at informatik.uni-koeln.de
Mon Jul 10 13:54:45 CEST 2006 

Markus Fleck-Graffe schrieb:
> Jens Rühmkorf schrieb:
>> Die Einstellung entspricht genau den Passwort-Regeln der Uni (mind.
>> 2 lower-case, mind. 2 upper-case, mind. 2 digits). Die Erläuterung
>> zu cracklib findet sich in der Doku zu libpam, d.h. im Paket
>> libpam-doc.
> 
> Das ist ja praktisch - mit diesen "Einschränkungen" (der möglichen
> Passwörter!) kann man endlich wieder eine "Brute Force"-Suche
> realisieren.
> 
> (Wo sonst mindestens 26+26+10=52 Zeichen und Buchstaben, zuzüglich
> Sonderzeichen, möglich wären, sind mit dieser Einschränkung an 6 (!)
> der verlangten 8 Stellen nur noch 26 oder 10 Belegungen möglich.
> Dadurch wird der Schlüsselraum drastisch reduziert: das effektive 
> Passwort wird um fast ein ganzes Zeichen "kürzer".)

Die neuen Passwortregeln finde ich nicht gelungen, aber das war in der
E-Mail nicht gefragt ...

Bei einer Passwortlänge von 8 ist Brute-Force sowieso nicht soweit
entfernt: geht man optimistisch davon aus, daß ein "Cracker" Zugang zum
Passwort-Hash hat und pro Sek. 100 Mio. Passwörter gegen den Hash testen
kann, benötigt er für alle (26+26+10)^8=62^8 Tests insges. ca. 250 Tage.

Ich fände eine Regel der folgenden Art gut:

1. "mind. 1 Sonderzeichen",
2. "mind. 1 digit" und
3. "mind. 1 upper-case".

Beim Passwort-Setzen greift PAM-cracklib dann auf eine Wörterbuch-DB zu,
die aus ispell-Wörterbüchern, Matrikelnummern, Loginnamen etc. aufgebaut
ist.

Beispiel: Beim Versuch, mir auf einem solchen System das (nach
Uni-Regeln gültige) Password BLume491 zu geben, meldet cracklib (via
Standardinterface passwd):

-- snip --
$ passwd
Changing password for ruehmkorf
(current) UNIX password:
New UNIX password:
BAD PASSWORD: it is based on a dictionary word
-- snap --

Sinnvollerweise sollte ein 8-Zeichen-Passwort nach 180 Tagen geändert
werden. PAM kann sich (auch ohne großen Aufwand) alte Passwort-Hashes
merken, die dann nicht mehr Verwendung finden dürften.

MfG Jens

-- 
Jens
-------------------------------------------------------------------------
            Jens Rühmkorf
  Institut für Informatik   E-Mail  : ruehmkorf at informatik.uni-koeln.de
      Universität zu Köln
             Pohligstr. 1   Telefon : +49 221 470 5381
             D-50969 Köln   Fax     : +49 221 470 5387
-------------------------------------------------------------------------