PASSWD(1) PASSWD(1)
passwd - ndert das Passwort eines Nutzers
passwd [-f|-s] [Name]
passwd [-g] [-r|-R] Gruppe
passwd [-x max] [-n min] [-w warn] [-i inact] login
passwd {-l|-u|-d|-S|-e} login
passwd ndert die Passwrter fr Nutzer- und Gruppenkonten. Ein normaler
Nutzer kann nur das Passwort seines Kontos verndern, der Superuser
dagegen kann die Passwrter aller Konten ndern. Der Verwalter einer
Gruppe kann das Passwort der Gruppe ndern. passwd verndert auch die
Informationen ber das Konto wie den vollstndigen Namen des Nutzers,
seine Login-Shell oder Verfallsdatum und -intervall des Passworts.
Die Option -s bewirkt, dass passwd chsh aufruft, um die Shell des
Nutzers zu ndern. Die Option -f hat zur Folge, dass passwd chfn
aufruft, um die Gecos-Informationen des Nutzers zu ndern. Diese beiden
Optionen sind nur aus Kompatibilittsgrnden vorhanden, da die anderen
Programme auch direkt aufgerufen werden knnen.
Verndern des Passworts
Der Nutzer wird zuerst nach seinem alten Passwort gefragt, falls eines
vorhanden ist. Dieses Passwort wird dann verschlsselt und mit dem abge-
speicherten Passwort verglichen. Der Nutzer hat nur eine Gelegenheit,
das richtige Passwort einzugeben. Der Superuser kann diesen Schritt
berspringen, so dass vergessene Passwrter gendert werden knnen.
Nachdem das Passwort eingegeben wurde, werden Informationen ber die
Gltigkeitsdauer des Passworts abgefragt, um festzustellen, ob der
Nutzer das Passwort zu dieser Zeit verndern darf. Wenn nicht, lehnt
passwd ab, das Passwort zu ndern, und beendet sich.
Der Nutzer wird dann aufgefordert, ein neues Passwort einzugeben.
Dieses Passwort wird auf seine Komplexitt berprft. Eine allgemeine
Richtlinie ist, dass Passwrter aus sechs bis acht Zeichen bestehen
sollten und ein oder mehrere Zeichen aus folgenden Mengen enthalten
sollten:
Kleinbuchstaben
Grobuchstaben
Zahlen von 0 bis 9
Satzzeichen
Seien Sie vorsichtig, dass nicht die standardmigen Erase- oder Killze-
ichen des Systems eingegeben werden. passwd weist alle Passwrter zurck,
die nicht ausreichend komplex sind.
Wenn das Passwort akzeptiert wird, fordert passwd zu einer erneuten
Eingabe des Passworts auf und vergleicht die zweite Eingabe mit der
ersten. Beide Eingaben mssen bereinstimmen, damit das Passwort gendert
wird.
Gruppenpasswrter
Wenn die Option -g benutzt wird, wird das Passwort fr die bezeichnete
Gruppe verndert. Der Nutzer muss entweder der Superuser oder der Admin-
istrator der Gruppe sein. Das aktuelle Gruppenpasswort wird nicht
abgefragt. Die Option -r wird zusammen mit der Option -g verwendet, um
das aktuelle Passwort der Gruppe zu entfernen. Das erlaubt den Zugang
zur Gruppe fr alle Mitglieder. Die Option -R wird mit der Option -g
benutzt, um den Zugang zur Gruppe fr alle Nutzer zu beschrnken.
Informationen ber den Verfall des Passworts
Die Informationen ber die Gltigkeitsdauer des Passworts knnen vom Supe-
ruser mit den Optionen -x, -n, -w und -i gendert werden. Die Option -x
wird verwendet, um die maximale Anzahl von Tagen festzulegen, die das
Passwort gltig bleibt. Nach max Tagen muss das Passwort gendert werden.
Mit der Option -n kann die Mindestzahl der Tage bestimmt werden, bevor
es verndert werden darf. Der Nutzer kann das Passwort nicht ndern,
bevor nicht min Tage abgelaufen sind. Die Option -w wird verwendet, um
die Anzahl der Tage festzulegen, an denen der Nutzer eine Warnung
erhlt, bevor sein Passwort ungltig wird. Die Warnung wird dem Nutzer
warn Tage vor dem Verfall mitgeteilt und enthlt den Hinweis, wie viele
Tage noch verbleiben, bis das Passwort verfllt. Die Option -i wird
benutzt, um das Nutzerkonto zu deaktivieren, nachdem das Passwort fr
eine bestimmte Anzahl von Tagen ungltig war. Wenn ein Nutzerkonto ein
abgelaufenes Passwort fr inact Tage hatte, kann der Nutzer sich nicht
mehr bei seinem Konto anmelden.
Wenn Sie wollen, dass ein Passwort eines Kontos sofort verfllt, sollten
Sie die Option -e verwenden. Das hat zur Folge, dass der Nutzer gezwun-
gen wird, sein Passwort zu ndern, wenn er sich das nchste Mal anmeldet.
Sie knnen auch die Option -d verwenden, um das Passwort eines Nutzers
zu lschen (es wird also leer). Seien Sie mit dieser Option vorsichtig,
da sie dazu fhrt, dass ein Konto berhaupt kein Passwort zur Anmeldung
bentigt. Das ffnet Ihr System fr Eindringlinge.
Wartung der Konten
Nutzerkonten knnen mit den Flags -l und -u gesperrt und freigegeben
werden. Die Option -l schaltet ein Konto ab, indem es ein Passwort
zuweist, das mit keinem mglichen verschlsselten Wert bereinstimmen
kann. Die Option -u reaktiviert ein Konto wieder, indem das Passwort
auf seinen alten Wert zurckgesetzt wird.
Der Kontostatus kann mit der Option -S abgerufen werden. Die Statusin-
formation besteht aus sieben Feldern. Das erste Feld ist der
Login-Name des Nutzers. Das zweite Feld zeigt an, ob das Nutzerkonto
gesperrt ist (L), kein Passwort hat (NP) oder ein verwendbares Passwort
hat (P). Das dritte Feld zeigt das Datum der letzten Vernderung des
Passworts an. Die nchsten vier Felder sind die minimale Zeit, die max-
imale Zeit, die Dauer der Warnung und die Dauer der Unttigkeit fr das
Passwort. Die Zeitrume werden in Tagen ausgedrckt. Lesen Sie oben
Informationen ber den Verfall des Passworts zu Ausfhrungen ber diese
Felder.
Hinweise zu Nutzerpasswrtern
Die Sicherheit eines Passworts hngt von der Strke des Verschls-
selungsalgorithmus und von der Gre des Schlsselraums (key space) ab.
Die Verschlsselung auf UNIX-Systemen basiert auf dem NBS-DES-Algorith-
mus und ist sehr sicher. Die Gre des Schlsselraums hngt von der
Zuflligkeit des gewhlten Passworts ab.
Gefahren fr die Sicherheit von Passwrtern kommen gewhnlich von sor-
gloser Wahl oder Handhabung des Passworts. Daher sollten Sie kein
Passwort whlen, das in einem Wrterbuch auftaucht oder das
aufgeschrieben werden muss. Das Passwort sollte somit kein echter Name,
Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein. All das kann
dazu verwendet werden, das Passwort zu erraten, und stellt daher eine
Gefahr fr die Sicherheit Ihres Systems dar.
Sie mssen sich Ihr Passwort leicht merken knnen, damit Sie nicht
gezwungen sind, es auf ein Stck Papier aufzuschreiben. Das knnen Sie
dadurch erreichen, indem zwei kurze Wrter zusammengefgt werden und mit
einem besonderen Zeichen oder einer Zahl getrennt werden. Zum Beispiel
Pass%wort.
Eine andere Herangehensweise ist es, einen leicht zu merkenden Satz aus
der Literatur zu whlen und den ersten oder letzten Buchstaben von jedem
Wort zu nehmen. Ein Beispiel dafr:
Die Kruste wird im Allgemeinen ueberbewertet!
Das ergibt
DKwiAu!
Sie knnen einigermaen sicher sein, dass dieses Wort nur wenige Cracker
in ihren Wrterlisten haben. Sie sollten allerdings Ihre eigenen Metho-
den entwickeln, wie Sie Passwrter whlen, und sich nicht ausschlielich
auf die hier vorgestellten sttzen.
Anmerkungen zu Gruppenpasswrtern
Gruppenpasswrter beinhalten ein inhrentes Sicherheitsproblem, da mehr
als nur eine Person das Passwort kennt. Damit haftet schon der Idee von
Gruppenpasswrtern ein Sicherheitsproblem an. Jedoch sind Gruppen ein
ntzliches Werkzeug, um Zusammenarbeit zwischen verschiedenen Nutzern zu
ermglichen.
Es kann sein, dass einige Optionen nicht untersttzt werden. Die Kom-
plexitt der Passwortprfung kann sich auf verschiedenen Systemen unter-
scheiden. Der Nutzer wird angehalten, ein so komplexes Passwort zu
whlen, wie es ihm angenehm ist. Nutzer knnen unter Umstnden ihr Pass-
wort nicht ndern, wenn auf dem System NIS aktiviert ist, sie aber nicht
am NIS-Server angemeldet sind.
/etc/passwd - Informationen zu den Nutzerkonten
/etc/shadow - Verschlsselte Informationen zu den Nutzerkonten
Der Befehl passwd gibt beim Beenden folgende Werte zurck:
0 - Erfolg
1 - Berechtigung verweigert
2 - ungltige Kombination von Optionen
3 - unerwarteter Fehler, nichts verndert
4 - unerwarteter Fehler, die Datei passwd fehlt
5 - Datei passwd wird benutzt, versuchen Sie es spter noch einmal
6 - ungltiges Argument fr Option
group(5), passwd(5), shadow(5)
Julianne Frances Haugh <jockgrrl [AT] ix.com>
bersetzung von Simon Brandmair <sbrandmair [AT] gmx.net> (Apr 2005)
PASSWD(1)