Hallo Rainer,--On Sonntag, 20. Oktober 2002 23:23 +0200 Rainer Ellinger <rainer@ellinger.de> wrote:
Andre Timmermann schrieb:Wir möchten demnächst mal die Userpassworte einer Überprüfung mit john unterziehen, um eventuell zu schwache PWs aufzuspühren.Und wozu soll das helfen? Die Sicherheit des Systems verbessert es nicht. Die liegt primär in der Verantwortung des Admins.
Nein !!!! Das ist ein absoluter Trugschluss. Hacker nutzen schwache Passwoerter, um sich zu Rechnern Zugang zu verschaffen. Jedes schwache Passwort ist eine Gefaehrdung fuer ein System, welches sicher sein soll. Hat man erstmal Zugang kann man entsprechende Exploits ausfuehren, um Root-Rechte zu erlangen. Es reicht aber auch schon prinzipiell, wenn der Hacker unter
dem Namen eines anderen illegale Sachen treibt.
Wenn das System sowieso nur Einzel-Benutzern eine identische Arbeitsumgebung gibt, kann einem es als Admin egal sein, ob der Benutzer ein gutes oder gar kein Passwort hat. Im Zweifel triff es nur die Daten des einzelnen Benutzers.
Siehe oben. Sicherheitstechnisch absolut falsch. Es liegt in der Verantwortung des Admins die User ueber solche Schwachstellen zu informieren und gegebenenfalls zu sperren. Ich wuerde vorschlagen solche Passwortpruefungen durch eine unterschriebene Nutzerordnung, die dieses enthaelt, abzusichern. Ich bin allerdings auch kein Rechtsanwalt und kann insofern
nicht sagen, ob das so ausreicht. -- Benjamin ZeissGPG Public Key: http://www.kellnerweg.de/~bzeiss/pubkey.asc