Available in

(1) (4) (5) (5)/cs (1)/de (5)/de (1)/es (5)/es (1)/fi (1)/fr (5)/fr (1)/hu (5)/hu (1)/it (5)/it (1)/ja (5)/ja (5)/ko (1)/pl (5)/pl (5)/pt (5)/pt_br (1)/ru (5)/ru (1)/sv (5)/sv (1)/tr (5)/tr (5)/zh_cn (5)/zh_tw

Contents

BEZEICHNUNG

passwd − ändert das Passwort eines Nutzers

ÜBERSICHT

passwd [−f|−s] [Name]
passwd
[−g] [−r|−R] Gruppe
passwd
[−x max] [−n min] [−w warn] [−i inact] login
passwd
{−l|−u|−d|−S|−e} login

BESCHREIBUNG

passwd ändert die Passwörter für Nutzer− und Gruppenkonten. Ein normaler Nutzer kann nur das Passwort seines Kontos verändern, der Superuser dagegen kann die Passwörter aller Konten ändern. Der Verwalter einer Gruppe kann das Passwort der Gruppe ändern. passwd verändert auch die Informationen über das Konto wie den vollständigen Namen des Nutzers, seine Login−Shell oder Verfallsdatum und −intervall des Passworts.

Die Option −s bewirkt, dass passwd chsh aufruft, um die Shell des Nutzers zu ändern. Die Option −f hat zur Folge, dass passwd chfn aufruft, um die Gecos−Informationen des Nutzers zu ändern. Diese beiden Optionen sind nur aus Kompatibilitätsgründen vorhanden, da die anderen Programme auch direkt aufgerufen werden können.

Verändern des Passworts
Der Nutzer wird zuerst nach seinem alten Passwort gefragt, falls eines vorhanden ist. Dieses Passwort wird dann verschlüsselt und mit dem abgespeicherten Passwort verglichen. Der Nutzer hat nur eine Gelegenheit, das richtige Passwort einzugeben. Der Superuser kann diesen Schritt überspringen, so dass vergessene Passwörter geändert werden können.

Nachdem das Passwort eingegeben wurde, werden Informationen über die Gültigkeitsdauer des Passworts abgefragt, um festzustellen, ob der Nutzer das Passwort zu dieser Zeit verändern darf. Wenn nicht, lehnt passwd ab, das Passwort zu ändern, und beendet sich.

Der Nutzer wird dann aufgefordert, ein neues Passwort einzugeben. Dieses Passwort wird auf seine Komplexität überprüft. Eine allgemeine Richtlinie ist, dass Passwörter aus sechs bis acht Zeichen bestehen sollten und ein oder mehrere Zeichen aus folgenden Mengen enthalten sollten:

Kleinbuchstaben

Großbuchstaben

Zahlen von 0 bis 9

Satzzeichen

Seien Sie vorsichtig, dass nicht die standardmäßigen Erase− oder Killzeichen des Systems eingegeben werden. passwd weist alle Passwörter zurück, die nicht ausreichend komplex sind.

Wenn das Passwort akzeptiert wird, fordert passwd zu einer erneuten Eingabe des Passworts auf und vergleicht die zweite Eingabe mit der ersten. Beide Eingaben müssen übereinstimmen, damit das Passwort geändert wird.

Gruppenpasswörter
Wenn die Option −g benutzt wird, wird das Passwort für die bezeichnete Gruppe verändert. Der Nutzer muss entweder der Superuser oder der Administrator der Gruppe sein. Das aktuelle Gruppenpasswort wird nicht abgefragt. Die Option −r wird zusammen mit der Option −g verwendet, um das aktuelle Passwort der Gruppe zu entfernen. Das erlaubt den Zugang zur Gruppe für alle Mitglieder. Die Option −R wird mit der Option −g benutzt, um den Zugang zur Gruppe für alle Nutzer zu beschränken.

Informationen über den Verfall des Passworts
Die Informationen über die Gültigkeitsdauer des Passworts können vom Superuser mit den Optionen −x, −n, −w und −i geändert werden. Die Option −x wird verwendet, um die maximale Anzahl von Tagen festzulegen, die das Passwort gültig bleibt. Nach max Tagen muss das Passwort geändert werden. Mit der Option −n kann die Mindestzahl der Tage bestimmt werden, bevor es verändert werden darf. Der Nutzer kann das Passwort nicht ändern, bevor nicht min Tage abgelaufen sind. Die Option −w wird verwendet, um die Anzahl der Tage festzulegen, an denen der Nutzer eine Warnung erhält, bevor sein Passwort ungültig wird. Die Warnung wird dem Nutzer warn Tage vor dem Verfall mitgeteilt und enthält den Hinweis, wie viele Tage noch verbleiben, bis das Passwort verfällt. Die Option −i wird benutzt, um das Nutzerkonto zu deaktivieren, nachdem das Passwort für eine bestimmte Anzahl von Tagen ungültig war. Wenn ein Nutzerkonto ein abgelaufenes Passwort für inact Tage hatte, kann der Nutzer sich nicht mehr bei seinem Konto anmelden.

Wenn Sie wollen, dass ein Passwort eines Kontos sofort verfällt, sollten Sie die Option −e verwenden. Das hat zur Folge, dass der Nutzer gezwungen wird, sein Passwort zu ändern, wenn er sich das nächste Mal anmeldet. Sie können auch die Option −d verwenden, um das Passwort eines Nutzers zu löschen (es wird also leer). Seien Sie mit dieser Option vorsichtig, da sie dazu führt, dass ein Konto überhaupt kein Passwort zur Anmeldung benötigt. Das öffnet Ihr System für Eindringlinge.

Wartung der Konten
Nutzerkonten können mit den Flags −l und −u gesperrt und freigegeben werden. Die Option −l schaltet ein Konto ab, indem es ein Passwort zuweist, das mit keinem möglichen verschlüsselten Wert übereinstimmen kann. Die Option −u reaktiviert ein Konto wieder, indem das Passwort auf seinen alten Wert zurückgesetzt wird.

Der Kontostatus kann mit der Option −S abgerufen werden. Die Statusinformation besteht aus sieben Feldern. Das erste Feld ist der Login−Name des Nutzers. Das zweite Feld zeigt an, ob das Nutzerkonto gesperrt ist (L), kein Passwort hat (NP) oder ein verwendbares Passwort hat (P). Das dritte Feld zeigt das Datum der letzten Veränderung des Passworts an. Die nächsten vier Felder sind die minimale Zeit, die maximale Zeit, die Dauer der Warnung und die Dauer der Untätigkeit für das Passwort. Die Zeiträume werden in Tagen ausgedrückt. Lesen Sie oben Informationen über den Verfall des Passworts zu Ausführungen über diese Felder.

Hinweise zu Nutzerpasswörtern
Die Sicherheit eines Passworts hängt von der Stärke des Verschlüsselungsalgorithmus und von der Größe des Schlüsselraums (key space) ab. Die Verschlüsselung auf UNIX −Systemen basiert auf dem NBS−DES−Algorithmus und ist sehr sicher. Die Größe des Schlüsselraums hängt von der Zufälligkeit des gewählten Passworts ab.

Gefahren für die Sicherheit von Passwörtern kommen gewöhnlich von sorgloser Wahl oder Handhabung des Passworts. Daher sollten Sie kein Passwort wählen, das in einem Wörterbuch auftaucht oder das aufgeschrieben werden muss. Das Passwort sollte somit kein echter Name, Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein. All das kann dazu verwendet werden, das Passwort zu erraten, und stellt daher eine Gefahr für die Sicherheit Ihres Systems dar.

Sie müssen sich Ihr Passwort leicht merken können, damit Sie nicht gezwungen sind, es auf ein Stück Papier aufzuschreiben. Das können Sie dadurch erreichen, indem zwei kurze Wörter zusammengefügt werden und mit einem besonderen Zeichen oder einer Zahl getrennt werden. Zum Beispiel Pass%wort.

Eine andere Herangehensweise ist es, einen leicht zu merkenden Satz aus der Literatur zu wählen und den ersten oder letzten Buchstaben von jedem Wort zu nehmen. Ein Beispiel dafür:

Die Kruste wird im Allgemeinen ueberbewertet!

Das ergibt

DKwiAu!

Sie können einigermaßen sicher sein, dass dieses Wort nur wenige Cracker in ihren Wörterlisten haben. Sie sollten allerdings Ihre eigenen Methoden entwickeln, wie Sie Passwörter wählen, und sich nicht ausschließlich auf die hier vorgestellten stützen.

Anmerkungen zu Gruppenpasswörtern
Gruppenpasswörter beinhalten ein inhärentes Sicherheitsproblem, da mehr als nur eine Person das Passwort kennt. Damit haftet schon der Idee von Gruppenpasswörtern ein Sicherheitsproblem an. Jedoch sind Gruppen ein nützliches Werkzeug, um Zusammenarbeit zwischen verschiedenen Nutzern zu ermöglichen.

WARNUNGEN

Es kann sein, dass einige Optionen nicht unterstützt werden. Die Komplexität der Passwortprüfung kann sich auf verschiedenen Systemen unterscheiden. Der Nutzer wird angehalten, ein so komplexes Passwort zu wählen, wie es ihm angenehm ist. Nutzer können unter Umständen ihr Passwort nicht ändern, wenn auf dem System NIS aktiviert ist, sie aber nicht am NIS−Server angemeldet sind.

DATEIEN

/etc/passwd − Informationen zu den Nutzerkonten
/etc/shadow
− Verschlüsselte Informationen zu den Nutzerkonten

RÜCKGABEWERTE

Der Befehl passwd gibt beim Beenden folgende Werte zurück:

0 − Erfolg
1
− Berechtigung verweigert
2
− ungültige Kombination von Optionen
3
− unerwarteter Fehler, nichts verändert
4
− unerwarteter Fehler, die Datei passwd fehlt
5
− Datei passwd wird benutzt, versuchen Sie es später noch einmal
6
− ungültiges Argument für Option

SIEHE AUCH

group(5), passwd(5), shadow(5)

AUTOR

Julianne Frances Haugh <jockgrrl [AT] ix.com>

Übersetzung von Simon Brandmair <sbrandmair [AT] gmx.net> (Apr 2005)

COMMENTS

blog comments powered by Disqus