Passwort-Mindestlänge

[SteWo]

Hallo Gemeinde!

Als OpenBSD'ler frage ich mal in diesem Teil des Forums, aber ich kann mir vorstellen, daß auch aus anderen BSD-Ecken eine Antwort kommen kann.

Auf der Seite von OpenBSD101.com gibt es im Bereich security auch einen Hinweis auf die Mindestlänge der login-Passwörter. Dort ist angegeben, daß als Default OpenBSD eine PW-Mindestlänge von 6 Zeichen erwarten würde. Dies kann ich nicht nachvollziehen: Für einen meiner User habe ich unter 4.1 ein Passwort mit nur 4 Zeichen realisiert. Genauso konnte ich in der Vergangenheit (OpenBSD 3.7 oder älter) testweise einen root-Account ohne Passwort einrichten.

Wenn ich jetzt mal unterstelle, daß BSD-User im Allgemeinen und OpenBSD-User im Besonderen sensibel zu allen Aspekten der Sicherheit (hier im Sinne von "Vertraulichkeit") sind, so sehe ich darin jetzt nicht wirklich ein Problem. ABER: Ich hatte irgendwo gelesen, daß unixoide Systeme Passwörter nach der achten Stelle ignorieren. Google findet bspw. eine Seite der Uni Bielefeld, auf der es heißt:

Unix-Systeme beschränken die Länge des Paßwortes auf 8 Zeichen.

Also "Freiburg" wäre hinreichend, obwohl der User eigentlich "Freiburg2007" als Passwort definiert hatte. Kann dies jemand für *BSD bestätigen, oder ist dies für *BSD kein Thema???

Ich kann dies leider aktuell nicht überprüfen, da ich beim Versuch auf current zu wechseln leider mein Disklabel zerschossen habe und jetzt erstmal mich in Datenrettung versuchen muß ... (Die wirklich wichtigen Daten sind natürlich doppelt gesichert, aber auch die weniger wichtigen hätte ich gerne wieder ... )

Grüße allerseits,
SteWo

 

[Kamikaze]

Also zumindest für FreeBSD gilt das nicht. Da werden Passwörter nicht beschnitten.

 

[Columbo0815]

Ich meine mich zu erinnern, dass bei der Installation gefragt wird, wie man die Passwörter verschlüsseln möchte. Die eine Möglichkeit kann mehr als 8 Zeichen, die andere nicht. Ich bilde mir ein, dass es Open- oder FreeBSD war...

Gruß

 

[CommanderZed]

ich kann mich täuschen aber:

Wenn ich als root einen benutzer mit adduser einrichte, werde ich beim erstmaligen einrichten glaub ich u.A. nach dem Alghorythmus zur verschlüsselung gefragt (ich lass das immer auf autostehen - richtig?)
Ich kann beim nachfolgenden Dialog ein passwort beliebiger länge eingeben, auch "keins" ist wohl eine möglichkeit. Genauso auch bei der erstinstallation.

Anders verhällt
es sich anscheinend wenn mann passwd zum ändern verwenden sollte

The new password should be at least six characters long and not purely
alphabetic. Its total length must be less than _PASSWORD_LEN (currently
128 characters). A mixture of both lower and uppercase letters, numbers,
and meta-characters is encouraged.

anscheinend darfst du bis zu 128 Zeichen verwenden.

 

[SteWo]

anscheinend darfst du bis zu 128 Zeichen verwenden

Dann scheint das in die Kategorie "BSD <> Unix" zu fallen?!?

Sobald mein System wieder lauffähig ist, werde ich den Tipp aus OpenBSD101.com testen und die /etc/login.conf entsprechend anpassen. Mal sehen , was das ergibt.

Grüße,
SteWo

 

[nert]

Dann scheint das in die Kategorie "BSD <> Unix" zu fallen?!?

Nee, ich wuerde einfach sagen dass die Uni Bielefeld da Unfug verzapft.

 

[SteWo]

Es könnte natürlich sein, daß die von Google gefundene Seite ein wenig "historisch" ist ... andererseits: Wenn ich einfach mal unterstelle, daß das ein Großrechner-Unix ist, dann könnte es schon sein, daß deren System ebenfalls eine gewisse "Reife" hat ...

 

[Daemotron]

Früher wurden Passwörter unixoider Betriebssysteme mit DES verschlüsselt. Da es sich bei DES nicht um ein Hashverfahren, sondern um ein symmetrisches Verfahren mit sehr begrenzter Schlüssellänge (Standard: 56 Bit) handelt, musste die Anzahl zu verschlüsselnder Zeichen begrenzt werden, da eine volle Repetition des Schlüssels einem fähigen Kryptologen einen wunderbaren Ansatz zum Brechen der Verschlüsselung gegeben hätte. Ergo wurden früher (so lang ist das noch gar nicht her, vor einigen Jahren war das bei Linux auch immer noch Default-Einstellung) Passwörter ab der 8. Stelle abgeschnitten.

Heute verwenden die meisten unixoiden Systeme standardmäßig ein Hash-Verfahren als Einweg-Funktion zur Verschlüsselung der Passwörter. Dadurch sind theoretisch beliebige Passwort-Längen möglich. Beliebt ist z. B. MD5, das in den meisten Fällen zum Einsatz kommt. Eine Ausnahme macht hier OpenBSD. MD5 als 128 Bit Hash und sogar SHA-1 mit 160 Bit haben erwiesene (allerdings in der Praxis noch kaum relevante) Schwächen, die eine Kollision mit geringerem Aufwand als Brute Force ermöglichen (Kollision bedeutet, einen Klartextwert zu finden der denselben Hashwert erzeugt wie das unbekannte Passwort und damit den Zugriff auf das System ermöglichen würde). OpenBSD setzt daher standardmäßig auf ein symmetrisches Verfahren (Blowfish), aber wie bei jedem anderen POSIX-System kann die Art der Verschlüsselung vom Admin festgelegt werden.

 

[SteWo]

Mercí

Hi großer Magier!

Vielen Dank für die gute (und für sich lesenswerte) Beschreibung der Problematik! Wahrscheinlich hätte ich es via Google&Co. irgendwann auch herausgefunden, aber Du hast es prima auf den Punkt gebracht. Ist wie immer nur eine Sache der "richtigen" Stichwörter.

Apropos: Mit den Stichworten "passwort sicherheit blowfish" findet selbst exalead noch ca. 3.500 Seiten, Google sogar 67.800. Kannst Du eine Seite zu dieser Thematik empfehlen? (Abgesehen von der OpenBSD- und FreeBSD-Doku?)

Wieder etwas gelernt, wieder ein gutes Gefühl, den Vorschlägen der OpenBSD-Crew vertraut zu haben!

Gruß,
SteWo

 

[Daemotron]

Hi SteWo,

kleine Nachlese: OpenBSD nutzt nicht den "reinen" Blowfish-Algorithmus, sondern die Funktion bcrypt. Wie beim klassischen crypt (DES-basiert) unterliegt auch bcrypt einer Längenbschränkung; die maximale Passwort-Länge beträgt hier allerdings 72 Zeichen.

Kannst Du eine Seite zu dieser Thematik empfehlen? (Abgesehen von der OpenBSD- und FreeBSD-Doku?)

Das meiste kann man sich bei Wikipedia zusammenlesen. Für Crypto-Interessierte ist Bruce Schneiers Blog eine gute Anlaufstelle; eine 100%-Seite kenne ich allerdings auch nicht. Und meine Bücher zum Thema aus dem Studium lagern mittlerweile im Keller, und was Autoren oder Titel angeht, lässt mich mein Gedächtnis leider im Stich. Hier noch ein paar Links, die ich auf die schnelle gefunden habe:

• Verschlüsselung von Passwörtern unter Unix: http://www4.informatik.uni-erlangen.de/Lehre/SS02/PS_KVBK/talks/folien_sithglan.pdf
• Blowfish: http://www.schneier.com/paper-blowfish-fse.html http://de.wikipedia.org/wiki/Blowfish http://www.openbsd.org/cgi-bin/man....manpath=OpenBSD+Current&arch=i386&format=html
• Hash-Funktionen (insb. SHA-1): http://de.wikipedia.org/wiki/SHA-1 http://www.schneier.com/blog/archives/2005/02/sha1_broken.html