Re: Gute Passwörter erzwingen
Bernhard Schwartz <weichei@email-ausdrucker.de> writes:
> ich habe einen Server, auf dem ich nachts als Cronjob John the Ripper laufen
> lasse, um User mit schlechten Passwörtern zu finden. Wie kann ich dafür
> sorgen, dass solche User z.B. beim nächsten einloggen per ssh dazu gezwungen
> werden ihr Passwort zu ändern?
Und was hast Du davon? Wird damit die Sicherheit signifikant steigen?
IMHO könntst Du die Benutzer informieren, daß sie ein "schwaches" Passwort
haben, aber einen Zwang dies zu ändern würde ich daraus nicht ableiten.
Letztlich ist es doch das Problem des Users wenn jemand sein Passwort
erraten kann und eine "gehackte" User-ID sollte kein Risiko für die
Systmintegrität darstellen.
Ein Zwang zu einem Passwort welches irgendwelchen supertollen Regeln
entspricht führt nach meiner Erfahrung nur dazu, daß dieses tolle
Passwort dann irgendwo aufgeschrieben wird (meist eine Post-It am
Bildschirm) weil man es sich sonst ja nicht merken kann. Wird dann
dem User z.B. auch noch diktiert daß er alle 4 Wochen ein neues
Passwort zu vergeben hat, dann hast Du sehr schnell Passwörter wie
"!pass1005" und im November dann "!pass1105" usw. Und so etwas ist
dann genau wieder kein Zuwachs an Sicherheit sondern eher das Gegen-
teil.
Also: Nicht zwingen sondern versuchen durch Aufklären zu überzeugen.
Evtl. auch einen Zufalls-Passwort-Generator anbieten mit dem sich
Leute denen es an Kreativität mangelt dann ein Passwort genereieren
können.
Just my 2 cents
Rainer
--
Rainer König, Diplom-Informatiker (FH), Augsburg, Germany
Reply to: