© photocase.com / luxuz::
Leicht zu merken und trotzdem sicher vor Wörterbuchangriffen – das ist der klassische Zielkonflikt bei der Passwortwahl. Das vorgestellte Tool, nicht faul, sucht den Kompromiss.
|
Inhalt |
|---|
|
72 | Asterisk-Workshop, Teil 3 Diesmal geht es ums Anbinden von Analog- und ISDN-Telefonen und 76 | De-Perimeterization Wer früher hinter seiner Firewall die Sicherheit schlampen 78 | LPIC-Zertifizierung – Teil 20 Es muss gar nicht ein böswilliger Kollege sein, ganz allgemein |
Im vorigen Herbst hatte ich mich schon mal über zu schwache Passwörter ausgeweint [1]. Das dort vorgestellte Fail2ban verhindert das Schlimmste, doktort aber nur am Symptom herum. Wenn ich die Timing-Parameter mit Bedacht wähle, wehrt Fail2ban Brute-Force-Angriffe zuverlässig ab. Gegen Passwortzettel unter der Tastatur hilft es ebenso wenig wie gegen leicht zu erratende Passwörter.
Wie immer in der Schutztechnik schwelt der Zielkonflikt zwischen dem gewünschten Grad an Sicherheit – den legt der Admin fest – und dem Maß an Komfort – das wünscht der Benutzer herbei. Bekommt der Admin freie Hand, erhält der Benutzer ein Passwort wie »D!7cH9§i« – und das auch nur, wenn sich der gnädig gestimmte Admin mit acht Zeichen zufriedengibt.
Wenn noch das Passwort alle vier Wochen rotiert, ist die letzte Motivation des Benutzers zerstört, das Passwort im Hirn zu speichern. Er wird es aufschreiben und – Murphys Gesetz gemäß – dem Zettel den ungeeignetsten Lagerplatz zuweisen. Ließe der Admin hingegen den Benutzern freien Lauf, darf er von »tux«, »Inge« oder »Schoene_Schoschonin« ausgehen. Was also tun?
Passwort-Schleuder
Der konfigurierbare Passwortgenerator Pwgen [2] bietet einen Kompromiss an. Rufe ich Pwgen ohne Parameter in einer Shell auf, erhalte ich eine Reihe von Passwörtern, die sich aus Klein- und Großbuchstaben sowie Zahlen zusammensetzen. Passwörter der maximalen Sicherheitsstufe bekomme ich mit »pwgen -s -y«. Die sehen vielleicht so aus:
+3HEg,_5
1P.A@=2U
@||{}9Cy
Pwgen kann auch einfachere Passwörter erzeugen, ohne gleich auf das Niveau “Name der Hauskatze” zu sacken. Sonderzeichen baut Pwgen per Default ohnehin nicht ein und der Parameter »-B« unterdrückt auch Zeichen, die der Benutzer leicht verwechselt wie »1« und »l« oder »O« und »0«.
Lasse ich mich gar dazu breitschlagen, auf Zahlen völlig zu verzichten und begnüge mich mit Buchstaben, erhalte ich Passwörter, die mit etwas Fantasie sogar aussprechbar sind, Abbildung 1 zeigt eine ganze Tapete davon. Solche Passwörter bilden einen brauchbaren Kompromiss zwischen Komfort und Sicherheit – jedenfalls solange ich damit nicht gerade meine Daten-Kronjuwelen, sondern nur einen Benutzeraccount schützen möchte.
Abbildung 1: Pwgen erzeugt tütenweise Passwörter, hier solche, die sich Benutzer sogar einigermaßen merken können.
Theoretisch ginge es noch simpler: Ich könnte Pwgen noch die Großbuchstaben untersagen, will es aber nicht. Denn zu leicht muss ich es meinen Benutzern nun nicht machen, etwas Gehirnjogging ist für die Meute gesund. (jk)
|
Infos |
|---|
|
[1] Charly Kühnast, “Unbestechlicher Türsteher”: Linux-Magazin 10/07, S. 77 [2] Pwgen: [http://sourceforge.net/projects/pwgen/] |
|
Der Autor |
|---|
|
|
