passwd

passwd ändert Passwörter für Benutzer- und Gruppen-Accounts. Ein normaler Benutzer kann nur das Passwort für seinen eigenen Account ändern, der Superuser dagegen für jeden beliebigen. Der Administrator einer Gruppe kann das Passwort für die Gruppe ändern. passwd ändert auch Account-Informationen, so wie den vollen Namen des Benutzers, seine Login-Shell oder Passwort-Ablaufzeiten- und Intervalle.

Bei Passwort-Änderungengibt wird der Benutzer zuerst nach seinem alten Passwort gefragt, sofern es eines gibt. Dieses Passwort wird dann verschlüsselt und mit dem gespeicherten Passwort verglichen. Der Benutzer hat nur einen Versuch, das Passwort richtig einzugeben. Dem Superuser ist es erlaubt, diesen Schritt zu überspringen, so dass vergessene Passwörter geändert werden können.

Nachdem das Passwort eingegeben wurde, werden die Alterungsinformationen ausgewertet, um festzustellen, ob der Benutzer sein Passwort jetzt ändern darf. Wenn nicht, verweigert passwd die Änderung und beendet sich.

Der Benutzer wird anschließend nach einem neuen Passwort gefragt. Dieses Passwort wird auf seine Komplexität hin getestet. Als Richtlinie gilt, dass Passwörter aus 6 bis 8 Zeichen bestehen sollten. Dabei muss darauf geachtet werden, nicht die die systemweit voreingestellten Löschzeichen zu verwenden. passwd weist nicht hinreichend komplexe Passwörter zurück.

Wird das Passwort akzeptiert, so fragt passwd erneut nach und vergleicht den zweiten Eintrag mit dem ersten. Beide müssen übereinstimmen, damit die Änderung vorgenommen wird. Wenn die Option -g benutzt wird, wird das Passwort für die angegebene Gruppe geändert. Die Option -i wird benutzt, um einen Account zu sperren, nachdem das Passwort eine bestimmte Zahl Tage abgelaufen war.

Nachdem ein Account die Tage ein abgelaufenes Passwort gehabt hat, kann der Benutzer sich nicht mehr anmelden. Benutzer-Accounts können mit den Flags -l und -u gesperrt und entsperrt werden. Die Option -l sperrt einen Account, indem das Passwort in einen Wert geändert wird, der keinem möglichen verschlüsselten Wert entspricht. Die Option -u entsperrt den Account wieder, indem das Passwort auf den vorherigen Wert zurückgesetzt wird.

Wenn die Gültigkeit des Passworts eines Accounts unverzüglich ablaufen soll, kann die Option -e benutzt werden. Dies zwingt den Benutzer dazu, das Passwort beim nächsten Einloggen zu ändern. Es kann auch die Option -d benutzt werde, um das Passwort eines Benutzers zu löschen (es auf das leere Passwort zu setzen). Beim Umgang mit dieser Option ist Vorsicht geboten, da sie unter Umständen dazu führt, dass der Account überhaupt kein Passwort benötigt; das lässt das System offen für Eindringlinge.

Der Status eines Accounts wird mit der Option -S ausgegeben. Diese Statusinformation besteht aus 6 Teilen. Der erste Teil gibt an, ob ein Benutzer-Account gesperrt ist (L), kein Passwort (NP) oder ein nutzbares Passwort (P) hat. Der zweite Teil gibt das Datum der letzten Passwortänderung an. Die nächsten vier Teile sind das Minimalalter, Maximalalter, Warnungszeitraum und Inaktivierungszeitraum für das Passwort.

Die Sicherheit eines Passworts hängt von der Stärke des Verschlüsselungsalgorithmus' und der Größe des Schlüsselraumes ab. Die UNIX-System-Verschlüsselungsmethode beruht auf dem NBS-DES-Algorithmus und ist sehr sicher. Die Größe des Schlüsselraumes hängt von der Zufälligkeit des ausgewählten Passworts ab.

Die Option -s veranlasst passwd, chsh aufzurufen, um die Shell des Benutzers zu ändern. Genauso wird bei der Option -f das Programm chfn aufgerufen, um das Gecos-Feld der Benutzer-Information zu ändern. Diese Optionen sind nur aus Kmpatibilitätsgründen vorhanden, da die anderen Programme direkt aufgerufen werden.

Einschränkungen der Passwortsicherheit rühren meist von sorgloser Auswahl oder Handhabung der Passwörter her. Aus diesem Grund sollte ein Passwort gewählt werden, das nicht in einem Wörterbuch auftaucht und auch nicht niedergeschrieben werden muss. Das Passwort sollte auchkein Eigenname, das Kfz-Kennzeichen des Benutzers oder gar Geburtsdatum oder Anschrift sein. Diese können alle als Ausgangspunkt zum Erraten benutzt werden und gefährden damit die Systemsicherheit.

Man kann sich ziemlich sicher sein, dass nur wenige Cracker das in ihren Wortlisten haben werden. Man sollte sich allerdings eigene Methoden zur Konstruktion von Passwörtern aussuchen und sich nicht nur auf die hier angegebenen Methoden verlassen.