Mindestanforderungen an Passwörter

Passwörter sind dazu da, sicherzustellen, daß niemand anderes als der Besitzer eines logins dieses benutzt. Deshalb darf man sie auch niemals weitergeben! Es geht dabei nicht nur darum, daß ein Hacker die Daten eines bestimmten Benutzers zerstören könnte, vielmehr werden gehackte Accounts meist benutzt, um von dort ausgehend weiteren Schaden anzurichten - der dann auf den Eigentümer des Accounts und die Universität im allgemeinen zurückfällt. Man sollte sich das Passwort auch nicht notieren, keinesfalls auf dem Studentenausweis, einem Zettel in der Brieftasche oder ähnlich leicht zuordbarem und es mindestens einmal jährlich ändern, falls einem doch einmal jemand unbemerkt über die Schulter gesehen hat.

Sein Passwort ändert man im CIP-Pool mit dem Kommando yppasswd. (Es unterscheidet sich vom normalen passwd in der Hinsicht, daß ein besonderer Mechanismus (NIS, früher auch Yellow Pages genannt) verwendet wird, der die Passwörter für den ganzen Rechnerpool zentral auf einem Server (Mephisto) verwalten läßt, anstatt lokal auf jedem Rechner in /etc/passwd. Dies hat den entscheidenden Vorteil, das man immer auf allen Rechnern des CIP-Pools dasselbe Passwort hat.)

Nach dem Setzen des neuen Passworts dauert es jedoch eine Weile, bis es sich vom Server - auf dem es mit dem Kommando yppasswd geändert wird - auf die Client-Rechner durchsetzt; solange gilt noch das alte. Siehe auch in den Kapiteln Benutzerrelevante Cron-Jobs und Network Information Service NIS.

Es ist für die Sicherheit des Systems entscheidend, daß alle Passwörter gut sind. Ist es einem Hacker von außerhalb erstmal gelungen in einen beliebigen Account einzubrechen, kann er meist auch root werden (bei genügend genauer Kenntnis von allgemeinen Schwächen des Systems. Es gibt kein perfekt einbruchssicheres UNIX!) Deshalb starten wir selbst alle paar Wochen ein Programm, das versucht die Passwörter unserer logins zu knacken. Leicht zu erratende Passwörter führen zu einer Sperrung des betreffenden logins!

Auf jeden Fall vermeiden sollte man die folgenden simplen Regeln, ganz einfach weil sie fast jeder benutzt und deshalb von jedem Crack-Programm probiert werden! Es dauert z.B. nur ein paar Stunden alle Wörter eines Wörterbuchs gegen eine User-ID anlaufen zu lassen.

Ganz schlecht ist, ein Wort zu nehmen und ein Sonderzeichen hintenanzuhängen oder vorrauszustellen. Mindestens 5% aller Benutzer kommen auf die Idee, etwas wie "Martin!" zu nehmen.
Ganz schlecht ist wenn nur ein Großbuchstabe verwendet wird, und dieser am Anfang des Wortes steht.
Schlecht sind Wörter oder einfache Abkürzungen aus einem Wörterbuch. Dies schließt Personen-, Produkt- und Ländernamen und Fremdsprachen (sogar chinesisch oder hebräisch) ein!
Schlecht ist alles, was aus dem eigenen Namen, dem der Freundin, dem login-Namen oder sonstwelchen persönlichen Daten abgeleitet ist. Manche Crack-Programme durchsuchen systematisch Dateien im Benutzerhome nach solchen Daten!
Schlecht sind offensichtliche Ersetzungen wie "o" durch "0", "i" durch "1", "e" durch "3", "s" durch "$" usw.
Schlecht sind Zeichenfolgen, die auf der Tastatur nebeneinanderliegen, also z.B. "qwerty" oder "nm,./"
Mäßig sind die üblichen amerikanischen Abkürzungen, wie in "Bar-B-Q" für "Barbequeue", "n1" für "none", "fr8" für "freight" usw.

Es soll nicht heißen, daß man keine der obigen Regeln verwenden dürfte, jedoch sollte man sich nicht nur auf derartig simple Modifikationen verlassen. Es sollen hier keine festen Regeln gegeben werden, wie man gute Passwörter macht, weil solche Regeln dann ja wieder verwendet werden könnten, um die Passwörter zu knacken. Im folgenden einige Grundregeln:

Nur die ersten 8 Zeichen des Passworts sind relevant!
Am besten sollten zwei Wörter enthalten sein, oder noch besser nur Teile (z.B. Silben) dieser Wörter.
Inmitten des Wortes Sonderzeichen ("!$%^*()[]..."), aber nicht am Anfang oder Ende des Passworts. Noch besser ist es, ein oder mehrere Zeichen des Worts durch Sonderzeichen und Großbuchstaben oder Ziffern zu ersetzen. Dabei die simplen Ersetzungen des vorigen Abschnitts ("o" durch "0" (null), "acht" durch "8" usw.) vermeiden.
verschiedene Typen von Unregelmäßigkeiten einbauen, d.h. nicht dreimal "!" einsetzen oder dreimal Sonderzeichen anhängen. Verschiedene Modifikationsmöglichkeiten sind z.B. Großschreibung einzelner (innerer) Buchstaben; Einfügen, Ersetzen, Anhängen oder Voranstellen von Zeichen; Weglassen von Wortteilen. Wenn man mehr als zwei dieser Modifikationen kombiniert und dabei verschiedene Sonderzeichen verwendet, ist das Passwort i.A. sehr sicher.
Wenn man Shift benutzt (Großbuchstaben), sollte das nicht unbedingt das erste Zeichen sein.
Im Endeffekt sollten Zeichen aus mindestens drei der Mengen: {Kleinbuchstaben, Großbuchstaben, Sonderzeichen, Ziffern} möglichst bunt gemischt enthalten sein.
Manche Leute raten dazu, die Anfangsbuchstaben eines Sprichwortes o.ä. zu benutzen (z.B. "1-2-3- Ich koch mir Brei" --> "123-ikmB"). Diese sind zwar nicht schlecht, meist ist man dann aber zu langsam beim Eintippen oder spricht den Spruch dabei gar laut vor sich her.

Unser yppasswd zwingt zur Einhaltung der wichtigsten dieser Regeln. Das heißt aber nicht, daß alles was akzeptiert ist gut sein muß, oder alles was abgelehnt wird schlecht. Werden 2 oder mehr der obigen Regeln beachtet, ist das Passwort fast unmöglich zu erraten und man kann es sich doch noch leicht merken.

Folgende Sonderzeichen sollten nicht verwendet werden, da die getty/login-Prozesse Schwierigkeiten bei ihrer Eingabe machen:

@ # & : <SPACE> <CONTROL + char>

Noch einige Beispiele (jeweils ohne die Anführungszeichen)

Gute Passwörter: "gUD;pAw2" (aus "Gutes Passwort"), "p8Ssw;t", "pAsw.3d", "paStw,rD".
Schlechte Passwörter: "paswort", "Paswort", "Paswor1!", "qwer1234", "1Passwo2"

Wenn man sein Passwort einmal vergessen hat, kann man es von den CIP-Betreuer während der Sprechzeiten ändern lassen. Dazu muß der Personalausweis vorgezeigt werden.