Index: security/chapter.xml =================================================================== --- security/chapter.xml +++ security/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r43764 + basiert auf: r44302 --> Sicherheit @@ -732,32 +732,27 @@ In der Voreinstellung unterstützt &os; One-time Passwords in Everything - (OPIE), das in der Voreinstellung - MD5-Hash-Funktionen einsetzt. + (OPIE). OPIE wurde + konzipiert um Replay-Angriffe zu verhindern, bei dem ein + Angreifer das Passwort eines Benutzers ausspäht und es + benutzt, um Zugriff auf ein System zu erlangen. Da ein Passwort + unter OPIE nur einmal benutzt wird, ist ein + ausgespähtes Passwort für einen Angreifer nur von geringem + Nutzen. OPIE verwendet eine sichere + Hash-Funktion und ein Challenge/Response-System, um Passwörter + zu verwalten. Die &os;-Implementation verwendet in der + Voreinstellung die MD5-Hash-Funktion. - Es gibt drei verschiedene Arten von Passwörtern. Das erste - ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist - das Einmalpasswort, das von opiekey generiert - und von opiepasswd und dem Anmeldeprompt - akzeptiert wird. Das dritte Passwort ist das - geheime Passwort, das mit - opiekey (manchmal auch mit - opiepasswd) zum Erstellen der - Einmalpasswörter verwendet wird. + OPIE verwendet drei verschiedene Arten + von Passwörtern. Das erste ist das normales &unix;- oder + Kerberos-Passwort. Das zweite ist das Einmalpasswort, das von + opiekey generiert wird. Das dritte Passwort + ist das geheime Passwort, das zum Erstellen der + Einmalpasswörter verwendet wird. Das geheime Passwort steht in + keiner Beziehung zum &unix;-Passwort und beide Passwörter + sollten unterschiedlich sein. - Das geheime Passwort steht in keiner Beziehung zum - &unix;-Passwort. Beide können gleich sein, obwohl das nicht - empfohlen wird. Die geheimen Passwörter von - OPIE sind nicht auf eine Länge von 8 Zeichen, - wie alte &unix; Passwörter - Unter &os; darf das System-Passwort maximal - 128 Zeichen lang sein., beschränkt. - Gebräuchlich sind Passwörter, die sich aus sechs bis sieben - Wörtern zusammensetzen. Das OPIE-System - arbeitet vollständig unabhängig von den auf &unix;-Systemen - verwendeten Passwort-Mechanismen. - - Neben dem Passwort gibt es noch zwei Werte, die für + Es gibt noch zwei weitere Werte, die für OPIE wichtig sind. Der erste ist der Initialwert (engl. seed oder @@ -766,9 +761,9 @@ Iterationszähler, eine Zahl zwischen 1 und 100. OPIE generiert das Einmalpasswort, indem es den Initialwert und das geheime Passwort aneinander hängt - und dann die MD5-Hash-Funktion so oft, wie durch den - Iterationszähler gegeben, anwendet. Das Ergebnis wird in - sechs englische Wörter umgewandelt, die das Einmalpasswort + und dann die MD5-Hash-Funktion so oft, wie + durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird + in sechs englische Wörter umgewandelt, die das Einmalpasswort ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich das zuletzt benutzte Einmalpasswort und der Benutzer ist authentifiziert, wenn die Hash-Funktion des Passworts dem @@ -778,42 +773,37 @@ berechnen. Der Iterationszähler wird nach jeder erfolgreichen Anmeldung um eins verringert und stellt so die Synchronisation zwischen Benutzer und Login-Programm sicher. Wenn der - Iterationszähler den Wert 1 erreicht, muss + Iterationszähler den Wert 1 erreicht, muss OPIE neu initialisiert werden. Es gibt ein paar Programme, die in diesen Prozess einbezogen - werden. &man.opiekey.1; akzeptiert einen Iterationszähler, - einen Initialwert und ein geheimes Passwort. Daraus generiert - es ein Einmalpasswort oder eine Liste von Einmalpasswörtern. - &man.opiepasswd.1; wird benutzt, um Passwörter, Iterationszähler - oder Initialwerte zu ändern. Als Parameter verlangt es - entweder ein geheimes Passwort oder einen Iterationszähler - oder einen Initialwert und ein Einmalpasswort. + werden. Ein Einmalpasswort oder eine Liste von + Einmalpasswörtern, die von &man.opiekey.1; durch Angabe eines + Iterationszählers, eines Initalwertes und einem geheimen + Passwort generiert wird. &man.opiepasswd.1; wird benutzt, um + Passwörter, Iterationszähler oder Initialwerte zu ändern. &man.opieinfo.1; hingegen gibt den momentanen Iterationszähler und Initialwert eines Benutzers aus, den es aus /etc/opiekeys ermittelt. - Es gibt vier verschiedene Arten von Tätigkeiten. Zuerst - wird erläutert, wie &man.opiepasswd.1; über eine gesicherte - Verbindung eingesetzt werden, um Einmalpasswörter das erste Mal - zu konfigurieren oder das Passwort oder den Initialwert zu - ändern. Als nächstes wird erklärt, wie &man.opiepasswd.1; über - eine nicht gesicherte Verbindung, oder zusammen mit - &man.opiekey.1; über eine gesicherte Verbindung eingesetzt - werden, um dasselbe zu erreichen. Als drittes wird beschrieben, - wie &man.opiekey.1; genutzt wird, um sich über eine nicht - gesicherte Verbindung anzumelden. Die vierte Tätigkeit - beschreibt, wie mit &man.opiekey.1; eine Reihe von Schlüsseln - generiert wird, die Sie sich aufschreiben oder ausdrucken - können, um sich von Orten anzumelden, die über keine gesicherten - Verbindungen verfügen. + Dieser Abschnitt beschreibt vier verschiedene Arten von + Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über + eine gesicherte Verbindung konfiguriert werden. Als nächstes + wird erklärt, wie opiepasswd über + eine nicht gesicherte Verbindung eingesetzt wird. Als drittes + wird beschrieben, wie man sich über eine nicht gesicherte + Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man + eine Reihe von Schlüsseln generiert, die man sich aufschreiben + oder ausdrucken kann, um sich von Orten anzumelden, die über + keine gesicherten Verbindungen verfügen. - Einrichten über eine gesicherte Verbindung + <acronym>OPIE</acronym> initialisieren Um OPIE erstmals zu initialisieren, - rufen Sie &man.opiepasswd.1; auf: + rufen Sie &man.opiepasswd.1; über eine gesicherte Verbindung + auf: &prompt.user; opiepasswd -c [grimreaper] ~ $ opiepasswd -f -c @@ -829,27 +819,39 @@ MOS MALL GOAT ARM AVID COED - Nach der Aufforderung Enter new secret pass phrase: - oder Enter secret password: geben Sie bitte Ihr - Passwort ein. Dies ist nicht das Passwort, mit dem Sie sich - anmelden, sondern es wird genutzt, um das Einmalpasswort - zu generieren. Die Zeile, die mit ID anfängt, - enthält Ihren Login-Namen, den Iterationszähler und den - Initialwert. Diese Werte müssen Sie sich nicht merken, da - das System sie zeigen wird, wenn Sie sich anmelden. In der letzten - Zeile steht das Einmalpasswort, das aus diesen Parametern - und Ihrem geheimen Passwort ermittelt wurde. Bei der nächsten - Anmeldung müssen Sie dann dieses Einmalpasswort - benutzen. + Die Option startet den Konsolen-Modus, + der davon ausgeht, dass der Befehl von einem sicherem Ort + ausgeführt wird. Dies kann beispielsweise der eigene Rechner + sein, oder über eine mit SSH gesicherte + Verbindung zum eigenen Rechner. + + Geben Sie das geheime Passwort ein, wenn Sie danach + gefragt werden. Damit werden die Einmalpasswörter generiert. + Dieses Passwort sollte schwer zu erraten sein und sich + ebenfalls vom Passwort des Bentuzerkontos unterscheiden. Es + muss zwischen 10 und 127 Zeichen lang sein. Prägen Sie sich + dieses Passwort gut ein! + + Die Zeile, die mit ID beginnt, enthält den + Login-Namen (unfrul), den voreingestellten + Iterationszähler (499) und den Initialwert + (to4268). Das System erinnert sich an + diese Parameter und wird sie bei einem Anmeldeversuch + anzeigen. Sie brauchen sich diese Dinge also nicht merken. + Die letzte Zeile enthält das generierte Einmalpasswort, das + aus den Parametern und dem geheimen Passwort ermittelt wurde. + Bei der nächsten Anmeldung muss dann diese Einmalpasswort + benutzt werden. - Einrichten über eine nicht gesicherte Verbindung + Initialisierung über eine nicht gesicherte + Verbindung Um Einmalpasswörter über eine nicht gesicherte Verbindung - einzurichten, oder das geheime Passwort zu ändern, müssen Sie - über eine gesicherte Verbindung zu einer Stelle verfügen, an - der Sie &man.opiekey.1; ausführen können. Dies kann etwa die + zu initialisieren, oder das geheime Passwort zu ändern, müssen + Sie über eine gesicherte Verbindung zu einer Stelle verfügen, + an der Sie opiekey ausführen können. Dies kann etwa die Eingabeaufforderung auf einer Maschine sein, der Sie vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben (100 ist ein guter Wert) und einen Initialwert wählen, wobei