Proactive Password Checker

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

Proactive Password Checker

Post by Anonymous » 2006-06-14 09:31

Hallo.

Gibt es deutschsprachige HOWTOS wie so genannte Proactive Password Checker wie Cracklib, passwd+, anlpasswd oder npasswd installiert und eingerichtet werden. Die Erklärung sollte möglichst verständlich für Neueinsteiger sein.

Hintergrund ist folgender: ich soll ein Sicherheitskonzept für Linux erstellen, bin aber auf dem Gebiet Linux absoluter Neueinsteiger. Nun möchte ich u.a. auch darauf eingehen wie man sichere Passwörter wählt und auch die Benutzer dazu zwingt ein sicheres Passwort zu wählen. Auf http://www.theparallax.com/ habe ich entsprechend über diese PW Checker was gelesen. Habe mir mal npasswd runtergeladen, komme aber mit der Installation/Konfoguration nicht wirklich zurecht bzw. es funktioniert nicht so wie ich mir das denke, denn wenn ich mit einem Testbenutzer das Passwort ändere ist es dennoch möglich einfache Passwörter zu wählen.

Vielleicht könnt ihr mir auch ein paar (einstegerfreundliche) Tipps geben.

MfG

codc
Posts: 97
Joined: 2004-01-08 02:55
Location: Tübingen

Re: Proactive Password Checker

Post by codc » 2006-06-14 09:51

HansWurst wrote: Hintergrund ist folgender: ich soll ein Sicherheitskonzept für Linux erstellen, bin aber auf dem Gebiet Linux absoluter Neueinsteiger.
Hat man hier mal wieder den Bock zum Gärtner gemacht - nee sorry aber als Anfänger hast du keine Chance ein Sicherheitskonzept zu erstellen. Passwörter ist das eine die Dienste sind das andere.

Tip für den Einsteiger sag deinem Chef dass du dazu nicht geeignet bist und dass er gefälligst das Geld aufbringen muss einen wirklichen Fachmann zu bezahlen.

Anonymous

Re: Proactive Password Checker

Post by Anonymous » 2006-06-14 10:17

Das geht aber leider nicht. Außerdem will ich mich auch von Berufswegen und auch aus privatem Interesse mit Linux beschäftigen. Ich sehe das als gute Einstiegsmöglichkeit.
Mir ist klar das ich mich noch viel belesen und vor allem viel ausprobieren muss. Und ich habe den Anfang eben an dem System selber (bei den Passwörtern) gesucht. Als nächstes kommen dann diverse Dienste und ganz zum Schluss dann Sachen wie SSH etc.

MD5 und Shadow Passwörter sind soweit klar und nun hänge ich eben an diesem Punkt mit den Passwort Checkern.
Als FISI Azubi kann das sicherlich nicht verkehrt sein sich auch außerhalb von Windowssystemen auszukennen! Warum also wird einem Neuling dann gleich die Hilfe verwehrt?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Proactive Password Checker

Post by Joe User » 2006-06-14 10:19

Wenn Du Dich in den Aufbau und die Funktionsweise von Linuxsystemen einarbeiten möchtest/musst, kann ich Dir http://www.linuxfromscratch.org/lfs/ empfehlen. Den Rest hat mein Vorposter bereits beantwortet.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Proactive Password Checker

Post by daemotron » 2006-06-14 10:28

Mal abgesehen davon - "sichere" Passwörter sind auch eine zwiespältige Sache... Du kannst Deine User zwar zwingen, ihr Passwort regelmäßig zu ändern und außerdem Passwörter zu verwenden, die schwer zu erraten sind (Passwortlänge, Sonderzeichen, Dictionary Check etc.). Damit verhinderst Du dann aber nicht, dass sie sich ihr Passwort auf einen Zettel an den Monitor kleben, weil sie es sich nicht merken können :? (zumindest habe ich diese Erfahrung schon mehrfach gemacht, dass eine theoretisch supersichere Password Policy eher das Gegenteil bewirkt).

Der andere Ansatz, leicht zu merkende Passwörter zu erlauben, ist aber auch nicht viel besser - vielleicht liegen die Zugangsdaten nicht überall offen rum, aber dafür kann jeder geduldige Cracker die Passwörter erraten - mal abgesehen davon, dass Social Engineering sowieso der gefährlichste Angriff auf vertrauliche (Zugangs-)Daten ist.

Eine wirklich sichere Zugangskontrolle bekommt man IMHO nicht mit einfachen Passwörtern hin - da kommen dann Verfahren wie SecureID, X.509-Zertifikate oder SSH-Keys etc. ins Spiel, kombiniert mit einfacher Handhabung (USB-Dongle, SmartCard etc.).

codc
Posts: 97
Joined: 2004-01-08 02:55
Location: Tübingen

Re: Proactive Password Checker

Post by codc » 2006-06-14 10:34

HansWurst wrote:Das geht aber leider nicht. Außerdem will ich mich auch von Berufswegen und auch aus privatem Interesse mit Linux beschäftigen. Ich sehe das als gute Einstiegsmöglichkeit.
Betreib einen kleinen Server@home für Minimum 2 Jahre bastel und hab Spass und dann kannst du evtl. genug - ich hab danach mein LPIC-1 gemacht :wink:

Anonymous

Re: Proactive Password Checker

Post by Anonymous » 2006-06-14 10:45

jfreund wrote:Mal abgesehen davon - "sichere" Passwörter sind auch eine zwiespältige Sache...
[...]
Eine wirklich sichere Zugangskontrolle bekommt man IMHO nicht mit einfachen Passwörtern hin - da kommen dann Verfahren wie SecureID, X.509-Zertifikate oder SSH-Keys etc. ins Spiel, kombiniert mit einfacher Handhabung (USB-Dongle, SmartCard etc.).
Mein Sicherheitskonzept soll ja nicht nur aus den Passwörtern bestehen, sondern dies dient lediglich als Einstieg. Mir ist klar, dass durchaus mehr dazu gehört als Passwörter und hier und da ein bisschen Verschlüsselung, aber es sind Punkte die für mich eben in ein solches Konzept mit reingehören.
codc wrote:Betreib einen kleinen Server@home für Minimum 2 Jahre bastel und hab Spass und dann kannst du evtl. genug
Hierzu fehlt mir die Zeit. Ich kann, will und erwarte nicht das ich ein paar Tagen "der" Linuxcrack bin. Um Himmels Willen. Ich möchte schön der Reihe nach und stetig lernen um ein gewisses Grundverständniss für rudimentäre Sicherheitssachen zu entwickeln. Nur sitzt mir hier halt auch ein wenig mein Ausbilder im Nacken, der keine Lust hat 2 Jahre zu warten, sondern in 1-2 Monaten Ergebnisse sehen will. Das dann einige Sachen fehlen werden und vielleicht auch einiges noch von mir falsch interpretiert wird ist mir klar, aber ich hoffe ich bin dann auf einem Stand auf dem man weiter aufbauen kann.
Es ist noch kein Meister vom Himmel gefallen und (ohne euch zu nahe treten zu wollen) erinnert euch mal an eure Anfänge ;)

codc
Posts: 97
Joined: 2004-01-08 02:55
Location: Tübingen

Re: Proactive Password Checker

Post by codc » 2006-06-14 10:54

HansWurst wrote: sondern in 1-2 Monaten Ergebnisse sehen will.
Vergiss dass ganz schnell und an meine Anfänge habe ich mich gerade erinnert ....

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Proactive Password Checker

Post by lord_pinhead » 2006-06-14 15:52

Du hast das ganze aber nicht als Abschlussprojekt vor oder? Das schiesst weit über deine Projektzeit hinaus, ausserdem könnten dich die Prüfer nackt hinstellen wenn du pech hast.
Es gibt ein paar gut O´reilly Bücher wie Security Warrier, Linux Security Cookbook, Linux Networking Bible, Linux Server Hacks,Network Security Hacks. Das sind so Crashkurs sachen die dir vielleicht weiterhelfen könnten in den Grundzügen. Für mehr braucht man Zeit, und das nicht zu knapp.

@jfreund
In meiner Ausbildung hatte ich ähnliche ergebnisse, da war sogar deren eigener Name das Passwort und das stand noch auf der Notizunterlage. Oder ein Dackel von jemanden im Rahmen aufm Tisch und rate mal was für ein Passwort war ;)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Proactive Password Checker

Post by Joe User » 2006-06-14 16:15

Als minimaler Einstieg, damit Du siehst, was so alles auf Dich zukommen kann: http://www.puschitz.com/SecuringLinux.shtml
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Proactive Password Checker

Post by lord_pinhead » 2006-06-15 02:03

Über was du auch nachdenken könntest, wäre Kerberos für eine Single Sign-on Instanz, das wäre die einfachste und sicherste Variante weil du damit die Nutzer wirklich effektiv entlastest was jetzt die Passwörter angeht. Kerberos, The Definitve Guide von O´reilly dürfte die richtige Lektüre sein, oder einfach Google nutzen, dort gibt es massenhaft Artikel zu Heimdal Kerberos, SASL und Co. . Wenn die Nutzer dann Trainiert werden ein gutes Passwort zu nutzen (beispielsweise ein Satz bilden und die Anfangsbuchstaben nehmen) dürftest du das höchste Maß an sicherheit haben.