passwd
ÜBERSICHT
passwd [-f|-s] [name]
passwd [-g] [-r|R] gruppe
passwd [-x max] [-n min] [-w warn] [-i inakt] name
passwd {-l|-u|-d|-S|-e} name
BESCHREIBUNG
passwd ändert Passwörter für Benutzer- und Gruppen-Accounts. Ein nor-
maler Benutzer kann nur das Passwort für seinen eigenen Account ändern,
der Superuser dagegen für jeden beliebigen. Der Administrator einer
Gruppe kann das Passwort für die Gruppe ändern. passwd ändert auch
Account-Informationen, so wie den vollen Namen des Benutzers, seine
Login-Shell oder Passwort-Ablaufzeiten- und Intervalle.
Passwort-Änderungen
Der Benutzer wird zuerst nach seinem alten Passwort gefragt, sofern es
eines gibt. Dieses Passwort wird dann verschlüsselt und mit dem gespe-
icherten Passwort verglichen. Der Benutzer hat nur einen Versuch, das
Passwort richtig einzugeben. Dem Superuser ist es erlaubt, diesen
Schritt zu überspringen, so dass vergessene Passwörter geändert werden
können.
Nachdem das Passwort eingegeben wurde, werden die Alterungsinformatio-
nen ausgewertet, um festzustellen, ob der Benutzer sein Passwort jetzt
ändern darf. Wenn nicht, verweigert passwd die Änderung und beendet
sich.
Der Benutzer wird anschließend nach einem neuen Passwort gefragt.
Dieses Passwort wird auf seine Komplexität hin getestet. Als
Richtlinie gilt, dass Passwörter aus 6 bis 8 Zeichen bestehen sollten,
und dabei jeweils mindestens ein Zeichen aus den folgenden Mengen
enthalten sollten:
Kleinbuchstaben
Großbuchstaben
Ziffern 0 bis 9
Interpunktionzeichen
Dabei muss darauf geachtet werden, nicht die die systemweit vor-
eingestellten Löschzeichen zu verwenden. passwd weist nicht hinre-
ichend komplexe Passwörter zurück.
Wird das Passwort akzeptiert, so fragt passwd erneut nach und vergle-
icht den zweiten Eintrag mit dem ersten. Beide müssen übereinstimmen,
damit die Änderung vorgenommen wird.
Gruppen-Passwörter
Wenn die Option -g benutzt wird, wird das Passwort für die angegebene
Gruppe geändert. Der Benutzer muss der Superuser oder ein Gruppenad-
Tage vor Ablauf des Passworts der Benutzer eine Warnung erhält. Die
Warnung erscheint warn Tage vor Ablauf und teilt dem Benutzer mit, wie
viele Tage ihm noch bis dahin verbleiben. Die Option -i wird benutzt,
um einen Account zu sperren, nachdem das Passwort eine bestimmte Zahl
Tage abgelaufen war. Nachdem ein Account inact Tage ein abgelaufenes
Passwort gehabt hat, kann der Benutzer sich nicht mehr anmelden.
Account-Pflege
Benutzer-Accounts können mit den Flags -l und -u gesperrt und entsperrt
werden. Die Option -l sperrt einen Account, indem das Passwort in
einen Wert geändert wird, der keinem möglichen verschlüsselten Wert
entspricht. Die Option -u entsperrt den Account wieder, indem das
Passwort auf den vorherigen Wert zurückgesetzt wird.
Wenn die Gültigkeit des Passworts eines Accounts unverzüglich ablaufen
soll, kann die Option -e benutzt werden. Dies zwingt den Benutzer
dazu, das Passwort beim nächsten Einloggen zu ändern. Es kann auch die
Option -d benutzt werde, um das Passwort eines Benutzers zu löschen (es
auf das leere Passwort zu setzen). Beim Umgang mit dieser Option ist
Vorsicht geboten, da sie unter Umständen dazu führt, dass der Account
überhaupt kein Passwort benötigt; das lässt das System offen für Ein-
dringlinge.
Der Status eines Accounts wird mit der Option -S ausgegeben. Diese
Statusinformation besteht aus 6 Teilen. Der erste Teil gibt an, ob ein
Benutzer-Account gesperrt ist (L), kein Passwort (NP) oder ein
nutzbares Passwort (P) hat. Der zweite Teil gibt das Datum der letzten
Passwortänderung an. Die nächsten vier Teile sind das Minimalalter,
Maximalalter, Warnungszeitraum und Inaktivierungszeitraum für das Pass-
wort.
Hinweise für Benutzer-Passwörter
Die Sicherheit eines Passworts hängt von der Stärke des Ver-
schlüsselungsalgorithmus' und der Größe des Schlüsselraumes ab. Die
UNIX-System-Verschlüsselungsmethode beruht auf dem NBS-DES-Algorithmus
und ist sehr sicher. Die Größe des Schlüsselraumes hängt von der
Zufälligkeit des ausgewählten Passworts ab.
Die Option -s veranlasst passwd, chsh aufzurufen, um die Shell des
Benutzers zu ändern. Genauso wird bei der Option -f das Programm chfn
aufgerufen, um das Gecos-Feld der Benutzer-Information zu ändern.
Diese Optionen sind nur aus Kompatibilitätsgründen vorhanden, da die
anderen Programme direkt aufgerufen werden.
Einschränkungen der Passwortsicherheit rühren meist von sorgloser
Auswahl oder Handhabung der Passwörter her. Aus diesem Grund sollte
ein Passwort gewählt werden, das nicht in einem Wörterbuch auftaucht
und auch nicht niedergeschrieben werden muss. Das Passwort sollte auch
kein Eigenname, das Kfz-Kennzeichen des Benutzers oder gar Geburtsdatum
oder Anschrift sein. Diese können alle als Ausgangspunkt zum Erraten
benutzt werden und gefährden damit die Systemsicherheit.
Man kann sich ziemlich sicher sein, dass nur wenige Cracker das in
ihren Wortlisten haben werden. Man sollte sich allerdings eigene Meth-
oden zur Konstruktion von Passwörtern aussuchen und sich nicht nur auf
die hier angegebenen Methoden verlassen.
Bemerkungen zu Gruppen-Passwörtern
Gruppenpasswörter sind ein angeborenes Sicherheitsproblem, da es mehr
als einer Person erlaubt ist, das Passwort zu kennen. Gruppen sind
allerdings ein nützliches Werkzeug, um Kooperation verschiedener
Benutzer zu ermöglichen.
WARNUNG
Möglicherweise werden nicht alle Optionen unterstützt. Passwort-Kom-
plexitäts-Überprüfungen mögen von Standort zu Standort unterschiedlich
sein. Dem Benutzer wird nahegelegt, ein Passwort zu wählen, das so
komplex ist, wie es ihm noch angenehm ist. Benutzern ist es eventuell
nicht möglich, ihr Passwort zu ändern, wenn NIS angeschaltet ist und
sie nicht am NIS-Server angemeldet sind.
DATEIEN
/etc/passwd
Benutzer-Informationen
/etc/shadow
Verschlüsselte passwörter der Benutzer
SIEHE AUCH
group(5), passwd(5), shadow(5).
AUTOR
Julianne Frances Haugh <jfh@austin.ibm.com>
PASSWD(1)
Man(1) output converted for
Linux installieren!