Regelmäßige Passwortwechsel waren gestern: Starke Passwörter für jeden einzelnen Dienst sorgen für mehr Schutz. Charly motzt sein Ubuntu mit einem passenden PAM-Modul entsprechend auf.
Regelmäßig das Passwort zu wechseln, etwa alle 60 oder 90 Tage, gilt heute als überholt. Besser ist es, für jeden Dienst und jede Anmeldung ein eigenes, starkes Passwort zu verwenden. Die Anforderungen daran, wie stark (sprich: kompliziert) ein Passwort ausfallen muss, haben wir – zumindest auf unseren eigenen Systemen – selbst in der Hand.
Auf meinem Testrechner mit Ubuntu kann ich nahezu beliebig simple Passwörter benutzen – das soll sich ändern. Dazu installiere ich zuerst die PAM-Bibliothek Pwquality:
$ sudo apt install libpam-pwquality
Danach muss ich eine Zeile in der Konfigurationsdatei »/etc/pam.d/common-password« hinzufügen. Die Vorgabe sieht unter Ubuntu 18.04 “Bionic Beaver” wie folgt aus, auf anderen Systemen kann sie leicht abweichen:
password [success=1 default=ignore] pam_unix.so obscure sha512
Diese Zeile kann als Fallback bestehen bleiben, aber davor – das ist wichtig – füge ich die Zeile aus Listing 1 ein. Dabei handelt es sich um eine einzige Zeile, die ich nur der besseren Lesbarkeit halber für das Listing umbrochen habe. Mit den einzelnen Parametern – Tabelle 1 schlüsselt sie auf – lassen sich die Anforderungen an das Passwort gut steuern.
Listing 1
Passwort-Anforderungen
password requisite pam_pwquality.so \ retry=4 minlen=9 difok=4 lcredit=-2 \ ucredit=-2 dcredit=-1 ocredit=-1 \ reject_username enforce_for_root
|
Parameter |
Bedeutung |
|
»retry« |
Anzahl erlaubter Fehleingaben |
|
»minlen« |
minimale Passwortlänge |
|
»difok« |
Anzahl der Zeichen, die mit dem alten Passwort übereinstimmen dürfen |
|
»lcredit« |
minimale Anzahl von Kleinbuchstaben |
|
»ucredit« |
minimale Anzahl von Großbuchstaben |
|
»dcredit« |
minimale Anzahl von Ziffern |
|
»ocredit« |
minimale Anzahl von Sonderzeichen |
|
»reject_username« |
Passwort und Benutzername dürfen nicht identisch sein |
|
»enforce_for_root« |
Regeln gelten auch für root |
Nach einem anschließenden Neustart des Systems greift die neue Passwortregelung. Um sie zu testen, ändere ich das Passwort des Benutzers bob (Abbildung 1). Dabei gebe ich absichtlich in der ersten Runde ein zu kurzes Passwort ein und in der zweiten eines, das sich in gängigen Wörterbüchern findet. Beide lehnt das System kategorisch ab – so soll es sein.
Abbildung 1: Nach der Änderung lehnt das System zu simple Passwörter ab.
Erst im dritten Versuch gebe ich ein neues Passwort an, das den geänderten Regeln entspricht: »Cm1.Sya-n«. Das wirkt kompliziert, ist aber mnemonisch. Es handelt sich um die Anfangsbuchstaben samt Interpunktion der ersten Wörter aus Melvilles “Moby Dick” [1], mit einer “1” statt eines “I”, weil ich ja laut neuer Passwortregel eine Ziffer benötige. Dieses Passwort akzeptiert das System klaglos. (jlu)
Infos
- “Call me Ishmael. Some years ago – never mind how long precisely …”: http://www.online-literature.com/melville/mobydick/2/
