Re: dynamisches root passwort?

To: debian-user-german@lists.debian.org
Subject: Re: dynamisches root passwort?
From: "M. Houdek" <linux@houdek.de>
Date: Wed, 14 Nov 2007 18:01:26 +0100
Message-id: <[🔎] 200711141801.26190.linux@houdek.de>
Reply-to: maxx@linux.de
In-reply-to: <[🔎] 473B202C.60608@henry-schuett.de>
References: <[🔎] 4739D088.9090308@henry-schuett.de> <[🔎] 200711131920.29599.linux@houdek.de> <[🔎] 473B202C.60608@henry-schuett.de>

Am Mittwoch 14 November 2007 17:19:56 schrieb Henry Schütt:
> Danke für eure Antworten.
> Bezwecken wollte ich damit ein höhreres Sicherheitsniveau.
> Bin ich da auf dem richtigem Weg?

Nein.

Natürlich sollte ein Passwort öfter (ich schreibe bewusst nicht "regelmäßig") 
gewechselt werden. Das kann und sollte man aber selbst machen und nicht dem 
PC überlassen. Denn in dem Fall gibt es IMHO nur 3 Möglichkeiten, auch selbst 
Kenntnis von diesem neuen Passwort zu erlangen:

1. Der PC erstellt das neue Passwort nach einem bestimmten Muster, dass man 
dann selbst auch nachvollziehen kann. Dieses Muster kann aber letztlich auch 
ein potentieller Einbrecher nachvollziehen [1].

2. Der PC schickt einem das neue Passwort irgendwie zu (weitere Kommentare 
dazu erspare ich mir ;-).

3. Der PC nimmt das neue Passwort aus einer vordefinierten Liste (ähnlich der 
TAN beim Online-Banking). 

Die 3. Methode ist IMHO noch die am wenigsten unsichere, wenn die Passwörter 
der Liste gut sind und die Liste auf dem PC nur für root sichtbar und lesbar 
ist. Natürlich muss die Liste bei dir auch entsprechend sicher verwahrt sein. 
Zusätzlich könnte man vllt. auch noch den Login-Prozess derart aufbohren, 
dass nach einem bestimmten, aber zufälligen Passwort auf der Liste gefragt 
wird und nicht dem nächsten (analog zu indizierten TAN). 

Aber letzlich ist das alles angreifbar, wobei eine nur für root sichtbare 
Liste als sicher gilt. Denn wenn jemand Unbefugtes die Liste lesen kann (also 
als root auf der Kiste unterwegs ist), hat man diese Runde eh verloren. :-/

Dennoch würde ich lieber öfter das root-Passwort wechseln, ggf. sogar per 
Zwang bei jedem Abmelden.

Wichtiger für die Sicherheit ist vielmehr, kein Telnet laufen zu haben und ssh 
über Schlüssel und ohne root-Zugang einzurichten. Root darf sich maximal 
lokal anmelden, aber nie über das Netz. Eventuell sogar den root-Account 
komplett sperren und alles über einen Admin-User (oder sogar verschiedene mit 
unterschiedlichen Privilegien - dann braucht man sich meist nur mit einem 
weniger priveligierten Account anmelden) erledigen (--> sudo).

Und das ist erst der Anfang - und einen 100% sichereren Rechner gibt es 
trotzdem nicht (zumindest, wenn der Rechner auch noch etwas sinnvolles tun 
soll außer evtl. als 4. Tischbein für den Schreibtisch herhalten ;-)

[1] Spätestens nach dem 3. oder 4. abgefangenen Passwort sollte es kein 
größeres Problem darstellen, die Bildungsvorschrift zu knacken. Oder aber sie 
ist so kompliziert, dass man selbst nicht mehr auf das richtige Passwort 
kommt. *g*

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Reply to:

Follow-Ups:
- Re: dynamisches root passwort?
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: dynamisches root passwort?
  - From: Markus Schulz <msc@antzsystem.de>

References:
- dynamisches root passwort?
  - From: Henry Schütt <kontakt@henry-schuett.de>
- Re: dynamisches root passwort?
  - From: "M. Houdek" <linux@houdek.de>
- Re: dynamisches root passwort?
  - From: Henry Schütt <kontakt@henry-schuett.de>

Prev by Date: Re: Max Mem bei Etch
Next by Date: Re: Max Mem bei Etch
Previous by thread: Re: dynamisches root passwort?
Next by thread: Re: dynamisches root passwort?
Index(es):
- Date
- Thread