Dirk Salva schrieb: > Ebend. Genauso schlimm sind diese ganzen expire-Zeiträume. Da niemand > große Lust hat, sich ständig neue Passwörter auszudenken und zu > merken, wird dann ein Passwort genommen, welchem eine Ziffer voran > oder hintan gestellt wird. Ausreichende Sicherheit bieten IMHO Sicherheit ist eben nichts was man erzwingen kann - klar PAM und cracklib können schon das Aussuchen der Passwörter beeinflussen (dass sie entsprechend ablaufen, man eine Mindestzahl von Sonderzeichen haben muss, dass sie nicht in Wörterbüchern stehen, nicht zu ähnlich mit den letzten gewählten Passwörtern sind, dass ich schon verwendete Passwörter nicht nochmal nutzen kann, etc.). Nur Public-Keys bringen da auch kaum Abhilfe (ausser dass man die Skriptkiddies los ist, die wörterbuchweise alles mögliche durchprobieren - und damit ja leider nicht selten genug Erfolg haben), denn den kann man ja entweder gar nicht per Passwort sichern oder mit einem schlechten, das Ändern liegt beim Anwender ohne meine Kontrolle, gerne liegen sie auch mit zuvielen Rechten verstehen auf dem Rechner (rwxr--r--) oder sind irgendwo hinkopiert, damit man sie jederzeit griffbereit hat. Moral der Geschichte: Sicherheit fängt in den Köpfen der Leute an und Schwachstelle ist nun mal der Mensch an dieser Stelle. Zwinge ich meine User alle 30 Tage ein 20 Zeichen Kennwort neu zuvergeben, dann werden sich viele es einfach aufschreiben und irgendwo ablegen. Lasse ich alles zu ändert keiner freiwillig über Jahre hinweg. Man muss also ein gutes Mittelmaß finden mit dem beide Seiten leben können und vorallem wollen(!). Gutes Mittel ist eine beispielhafte Vorführung eines POP3 Logins oder Webseitenabrufs mit tcpdump, um klar zumachen warum es ausserdem auch sinnvoll sein kann unterschiedliche Kennwörter für unterschiedliche Systeme zu verwenden. Nett sind dann auch Dienste "Ich habe mein Kennwort vergessen. Klicken Sie hier" und dann bekomme ich eine Mail wo es im Klartext drinsteht - sehr schön. BTW: Das sind endlose Themen :-) Helfen tut nur eins: (NACH)DENKEN! Zu Michelles Problem: Die ganze Thematik lässt sich halbwegsumgehen, wenn man Anwendungen mit z.B. SmartCards sichert. Habe mal für so eine ähnliche Anwendung welche vom Typ SLE 4428 verwendet, bieten 1KByte Platz für einen Public-Key/Zertifikat und haben eine PIN. Damit kann man Zugriffskontrollen sehr schön abwickeln, auch wenn natürlich immer noch das Risiko besteht, dass jemand die Karte mit draufgeschriebener PIN liegen lässt. Aufwendig ist nur das Managment der Zertifikate und/oder Public-Keys serverseitig. Cheers, Jan
Attachment:
signature.asc
Description: OpenPGP digital signature