[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Verfall von Passwoertern

Helmut Waitzmann <Helmut.Waitzmann@web.de> writes:

>Joerg Sommer <joerg@alea.gnuu.de> writes:
>
>>Helmut Waitzmann <Helmut.Waitzmann@web.de> wrote:
>
>[Der Benutzer wird beim Login aufgefordert, sein Passwort zu ändern, weil
>es zu alt geworden ist.]
>
>>Was passiert bei einem grafischen Login?
>
>Ich habe schon befürchtet, dass Du diese Frage stellen würdest...
>
>Ich bin mir nicht mehr sicher, meine aber einmal bei HP-UX schon mal
>gesehen zu haben, dass man dann ein xterm präsentiert bekommt, in dem das
>Programm »passwd« läuft.
>
>Keine Ahnung, was bei Debian passiert.

>>Könntest du auch mal ein grafisches Login wie kdm oder xdm probieren? Ich
>>sehe bei diesen Programmen schlecht eine Möglichkeit eine zusätzliche
>>Abfrage nach einem neuen Passwort zu machen. 

Ich habe es bei Debian Sarge mal ausprobiert:  Es wird nach einem neuen
Passwort gefragt.

Ich habe ein Account »versuchskaninchen« eingerichtet und mit ihm
folgendes angestellt:

   $ date --iso-8601=seconds
   2005-05-31T19:51:49+0200
   $ sudo -u root chage -m 4 -M 6 -I 2 -W 4 -d '2005-05-24' versuchskaninchen
   $ sudo -u root sudo -u versuchskaninchen chage -l versuchskaninchen
   Minimum:        4
   Maximum:        6
   Warning:        4
   Inactive:       2
   Last Change:            Mai 24, 2005
   Password Expires:       Mai 30, 2005
   Password Inactive:      Jun 01, 2005
   Account Expires:        Never

Versuchskaninchens Passwort ist also (anscheinend) am 24. Mai zuletzt
geändert worden und daher seit 30. Mai (also 6 Tage später) abgelaufen.
Gesperrt ist es noch nicht:  Das wird es erst 8 Tage nach dem 24. Mai,
also am 1. Juni.

Wenn jetzt das Versuchskaninchen am gdm zur Anmeldung die Benutzerkennung
und das bestehende, veraltete Passwort eingetippt hat, wird eine Meldung
ausgegeben, dass das Passwort abgelaufen sei und jetzt geändert werden
müsse.

Dann wird das Versuchskaninchen nochmals nach dem bestehenden Passwort
gefragt und -- wenn es richtig eingetippt worden ist -- anschließend zwei
mal nach einem neuen.

Hat es das eingetippt, fährt ganz normal eine grafische Sitzung hoch.

Entsprechend verhält es sich beim textorientierten Zugang mit dem
Programm »login«:  Nach erfolgter Änderung des Passwortes wird ganz
normal eingeloggt.

Setze ich Versuchskaninchens Passwort-Alter so, dass nur gewarnt wird:

   $ sudo -u root chage -m 4 -M 6 -I 2 -W 4 -d '2005-05-26' versuchskaninchen
   $ sudo -u root sudo -u versuchskaninchen chage -l versuchskaninchen
   Minimum:	4
   Maximum:	6
   Warning:	4
   Inactive:	2
   Last Change:		Mai 26, 2005
   Password Expires:	Jun 01, 2005
   Password Inactive:	Jun 03, 2005
   Account Expires:	Never

erhält es sowohl beim textorientierten wie auch beim grafischen Zugang
eine Warnmeldung, kann sich aber wie gewohnt anmelden.

Setze ich Versuchskaninchens Passwort-Alter so, dass es zwar Zeit zum
Ändern des Passworts ist, das Passwort aber noch nicht alt genug ist:

   $ sudo -u root chage -m 8 -M 6 -I 2 -W 4 -d '2005-05-24' versuchskaninchen
   $ sudo -u root sudo -u versuchskaninchen chage -l versuchskaninchen
   Minimum:	8
   Maximum:	6
   Warning:	4
   Inactive:	2
   Last Change:		Mai 24, 2005
   Password Expires:	Mai 30, 2005
   Password Inactive:	Jun 01, 2005
   Account Expires:	Never

wird es ebenfalls aufgefordert, ein neues Passwort zu wählen (im
Einzelnen wie oben), bevor es dann aber dazu kommt, ein neues
einzutippen, bricht »passwd« ab mit der Meldung, man müsse noch länger
warten, bis man das Passwort ändern könne.  Das heißt also, man kommt
nicht mehr ins System rein.

Fazit:

Ist das Passwort zu alt (Lebenszeit; setze diese Schranke mit »chage -M«
oder »passwd -x«, wird der Benutzer nicht mehr ins System reingelassen,
ohne das Passwort neu zu setzen.

Ist dann das Passwort noch nicht zu lange zu alt (Wiederbelebungszeit;
setze diese Schranke mit »chage -I« oder »passwd -i«), wird der Benutzer
aufgefordert, sich mit seinem bisherigen Passwort auszuweisen.

Ist das bisherige Passwort inzwischen alt genug (Ende der Reifezeit;
setze diese Schranke mit »chage -m« oder »passwd -n«), darf er sich ein
neues Passwort ausdenken und zweimal eintippen.

In allen Fällen gilt:  Ist es Zeit zu warnen (Warnzeit; setze diese
Schranke mit »chage -W« oder »passwd -w«), wird vor dem Ende der
Lebenszeit des Passwortes gewarnt; und dabei ist es egal, ob
das Passwort schon reif genug für eine Änderung ist oder nicht.

                                        Zeitpunkt
                                        der letzten
                                        Änderung
                                        des Passworts
                                          |
                                          v
------------------------------------------------------------------> Zeit
Reifezeit                                 +-------->|
Lebenszeit                                +---------|------>
Wiederbelebungszeit                                 |       +---->|
Warnzeit                                        <---|-------+     |
                                                    |             |
Hier kann das Account genutzt werden       ---------|-------+     |
                                                    |             |
Hier darf das Passwort geändert werden              +-------------+


Wenn man die Reifezeit bis über das Ende der Wiederbelebungszeit
ausdehnt, kann man das Passwort nie ändern.

Bemerkung:  Ich habe nicht ausprobiert, was geschieht, wenn man den
Zeitpunkt der letzten Änderung des Passworts mittels »chage« in die
Zukunft legt.
-- 
Wenn Sie mir E-Mail schreiben, stellen |  When writing me e-mail, please
Sie bitte vor meine E-Mail-Adresse     |  precede my e-mail address with
meinen Vor- und Nachnamen, etwa so:    |  my full name, like
Helmut Waitzmann <xxx@example.net>, (Helmut Waitzmann) xxx@example.net
Reply to: