Anzeige:
Ergebnis 1 bis 4 von 4

Thema: Passwortdatei (Passwortsicherheit) bewerten

  1. #1
    Registrierter Benutzer
    Registriert seit
    Feb 2020
    Beiträge
    7

    Passwortdatei (Passwortsicherheit) bewerten

    Nochmal Hallo zusammen

    wir haben eine Linux Aufgabe bekommen, wo ich nicht ganz sicher bin, ob ich die richtig beantwortet habe:

    Mal angenommen, ich überprüfe eine Passwortdatei und finde folgenden Eintrag:

    #Name-der-Datei
    name:$9d$88$HSI74RdRCXCrKM/u4pks.9

    Wie würdet Ihr den Eintrag in der Passwortdatei erklären und wie würdet Ihr die Sicherheit des gespeicherten Passwortes bewerten?
    Könnte man dadurch irgendwelche Angriffe erfolgreich durchfüren? und wenn ja, wie Verhindert man diese?

    Mein Lösungsansatz:
    Benutzername „name“ : Kennwort als Hash (Verschlüsselt : „Die anderen Werte wurden vom Administrator nicht definiert und sind leer.“

    Man könnte den Account ganz einfach Deaktivieren, indem man ein ! vor dem gehashten Passwort schreibt  Damit ist 1 Zeichen zu viel im Hash. Dadurch stimmen die gehashten Passwärter (beim loggin und in der Passwortdatei /etc/shadow) nie überein = Login funktioniert nicht

    Zusatzinfo: Werden diese Werte beim Anlegen des Kontos nicht angegeben, gelten die Default-Werte aus der Datei «/etc/login.defs»:

    Angriffe können verhindert werden durch:
    - Auf veraltete MD5-Verschlüsslung verzichten
    - Passwörter regelmäßig ändern lassen
    - Mittel PASS_MIN_DAYS wird vermieden, dass alte Passwörter genutzt werden können
    - Um Brute-Force-Angriffe zu erschweren, bei der Verschlüsslung noch ein „salt“ mit anhängen

    Bei der Passwortvergabe auf folgendes achten:
    - Benutzernamen nicht länger als 255 Bytes, weder punkt noch Doppelpunkt im Zeichen enthalten
    - Keine #-Zeichen im Benutzernamen, da sich der Benutzer sonst nicht anmelden kann
    - Unter Windows werden Passwörter die länger als 255 Bytes sind auf 255 Bytes gekürzt.

  2. #2
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    Um Brute-Force-Angriffe zu erschweren, bei der Verschlüsslung noch ein „salt“ mit anhängen
    Ist mMn falsch - https://de.wikipedia.org/wiki/Salt_(Kryptologie) vs https://de.wikipedia.org/wiki/Brute-...de#Kryptologie
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  3. #3
    Registrierter Benutzer
    Registriert seit
    Feb 2020
    Beiträge
    7
    Hey nopes, hmm stimmt, heutzutage sind die Rechner so Leistungsstark, dass es trotzdem schnell "gehackt" werden kann. Das sollte ich (falls die Frage in der Prüfung vorkommt) als Randnotiz dazuschreiben.
    Danke für den Hinweis :-)

    PS: Über weitere Antworten zu meiner o.g. Frage wäre ich natürlich nicht abgeneigt ;-)

    Wie würdet Ihr den Eintrag in der Passwortdatei erklären und wie würdet Ihr die Sicherheit des gespeicherten Passwortes bewerten?
    Könnte man dadurch irgendwelche Angriffe erfolgreich durchfüren? und wenn ja, wie Verhindert man diese?

  4. #4
    Registrierter Benutzer
    Registriert seit
    Feb 2020
    Beiträge
    7
    EDIT: ich habe noch folgendes Rausgefunden:

     Die $-Zeichen sind Trennzeichen
    Die $2$ gibt den Hash-Algorithmus an, mit dem das Passwort umgerechnet wurde und hier abgespeichert ist.
    • $1$ für md5,
    • $2$ für Blowfish,
    • $5$ für SHA-256
    • $6$ für SHA-512

    Die $05$ gibt den „Salt“-Wert an (Zufallszahl, die beim Ändern des Passwortes immer neu erzeugt wird und dem Passwort hinzugefügt). Alles was danach kommt ist der errechnete Hash-Wert [Passwort+Salt]

    Authentifizierung: In System einloggen  Passwort eingeben  Salt Wert wird ausgelesen  meinem Passwort hinzugefügt  der Hash wird berechnet und wird mit dem hinterlegtem Hash in der /etc/shadow verglichen  Stimmen beide überein = Login erfolgreich (Authentifiziert)

    Warum Salt man? (Schutz vor Rainbow-Table-Angriffen)
    Aufgrund Angriffe mit „Rainbow-Tables“  Das sind vorab berechnete Hash-Werte von gern benutzten Passwörtern. Bei einem Angriff vergleicht man die Hash-Werte in der /etc/shadow mit den vorab berechneten Hash-Werten (gleiches Passwort = gleicher Hash). Darum „Salt“ man vorher die Passwörter. Der Aufwand auch die Salts zu vergleichen/zu errechnen etc. wäre viel zu groß!

Ähnliche Themen

  1. 802.11g - Verbindungsqualität bewerten
    Von Schimmelhirn im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 20.02.08, 14:56
  2. Passwortsicherheit LDAP+Samba
    Von mastapuffy im Forum Linux als Server
    Antworten: 4
    Letzter Beitrag: 22.09.05, 09:24
  3. Musikstücke bewerten
    Von Elektronator im Forum Musik
    Antworten: 7
    Letzter Beitrag: 25.08.05, 21:23
  4. NIS Passwortsicherheit
    Von phoen][x im Forum Linux als Server
    Antworten: 3
    Letzter Beitrag: 06.11.02, 10:49
  5. Beiträge bewerten?
    Von SAdemar im Forum Tipps und Anregungen zur Site
    Antworten: 4
    Letzter Beitrag: 21.02.02, 13:23

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •