Passwörter sind seit 60 Jahren ein Grundpfeiler der Kontosicherheit, fast ein Jahrzehnt älter als Unix. Erfahren Sie, wie Sie Ihre Kennwörter unter Linux entweder über die Befehlszeile oder die GNOME-Desktopumgebung verwalten.
Inhaltsverzeichnis
So wählen Sie ein sicheres Passwort
Das Computerpasswort wurde aus der Not geboren. Mit dem Aufkommen von Mehrbenutzer-Timesharing-Computersysteme, wurde klar, wie wichtig es ist, die Daten von Personen zu trennen und zu schützen, und das Passwort löste dieses Problem.
Passwörter sind immer noch die häufigste Form der Kontoauthentifizierung. Zwei- und Mehrfaktor Authentifizierung verbessert den Passwortschutz und biometrische Authentifizierung bietet eine alternative Methode zur Identifizierung. Das gute alte Passwort ist jedoch noch bei uns und wird es noch lange geben. Das bedeutet, dass Sie wissen müssen, wie Sie sie am besten erstellen und verwenden. Einige der älteren Praktiken sind nicht mehr gültig.
Hier sind einige grundlegende Passwortregeln:
Verwenden Sie überhaupt keine Passwörter: Verwenden Sie stattdessen Passphrasen. Drei oder vier unzusammenhängende Wörter, die durch Satzzeichen, Symbole oder Zahlen verbunden sind, machen es viel schwieriger zu knacken als eine Reihe von Kauderwelsch oder ein Passwort mit Vokalen, die gegen Zahlen ausgetauscht wurden.
Passwörter nicht wiederverwenden: Tun Sie dies nicht auf demselben oder unterschiedlichen Systemen.
Geben Sie Ihre Passwörter nicht weiter: Passwörter sind privat. Teilen Sie sie nicht mit anderen.
Basieren Sie Passwörter nicht auf persönlich bedeutsamen Informationen: Verwenden Sie keine Namen von Familienmitgliedern, Sportmannschaften, Lieblingsbands oder irgendetwas anderes, das sozial konstruiert oder aus Ihren sozialen Medien abgeleitet werden könnte.
Verwenden Sie keine Musterkennwörter: Basieren Sie Kennwörter nicht auf Mustern oder Positionen von Schlüsseln wie qwerty, 1q2w3e und so weiter.
Richtlinien zum Ablauf von Kennwörtern sind keine bewährte Methode mehr. Wenn Sie starke, sichere Passphrasen verwenden, müssen Sie diese nur ändern, wenn Sie vermuten, dass sie kompromittiert wurden. Regelmäßige Passwortänderungen fördern unbeabsichtigt eine schlechte Passwortauswahl, da viele Leute ein Basispasswort verwenden und nur ein Datum oder eine Ziffer an dessen Ende hinzufügen.
Der Nationales Institut für Standards und Technologie hat ausführlich über Passwörter und Benutzeridentifikation und -authentifizierung geschrieben. Ihre Kommentare sind öffentlich verfügbar in Sonderpublikation 800-63-3: Richtlinien zur digitalen Authentifizierung.
Die passwd-Datei
In der Vergangenheit haben Unix-ähnliche Betriebssysteme Passwörter zusammen mit anderen Informationen zu jedem Konto in der Datei „/etc/passwd“ gespeichert. Heute enthält die Datei „/etc/passwd“ immer noch Kontoinformationen, aber die verschlüsselten Passwörter werden in der Datei „/etc/shadow“ gespeichert, die eingeschränkten Zugriff hat. Im Gegensatz dazu kann jeder die Datei „/etc/passwd“ einsehen.
Um einen Blick in die Datei „/etc/passwd“ zu werfen, geben Sie diesen Befehl ein:
less /etc/passwd
Der Inhalt der Datei wird angezeigt. Sehen wir uns die Details für dieses Konto namens „Mary“ an.
Jede Zeile steht für ein einzelnes Konto (oder ein Programm mit einem „Benutzer“-Konto). Es gibt die folgenden sieben durch Doppelpunkte getrennten Felder:
Benutzername: Der Anmeldename für das Konto.
Passwort: Ein „x“ zeigt an, dass das Passwort in der Datei /etc/shadow gespeichert ist.
Benutzer-ID: The Benutzerkennung Für diesen Account.
Gruppen-ID: The Gruppenkennung Für diesen Account.
GECOS: Das steht für General Electric Umfassender Betriebsleiter. Heute, den GECOS-Feld enthält eine Reihe von durch Kommas getrennten Informationen zu einem Konto. Dies kann Elemente wie den vollständigen Namen einer Person, die Zimmernummer oder die Büro- und Privattelefonnummern umfassen.
Home: Der Pfad zum Home-Verzeichnis des Kontos.
Shell: Wird gestartet, wenn sich die Person am Computer anmeldet.
Leere Felder werden durch einen Doppelpunkt dargestellt.
Übrigens bezieht der Fingerbefehl seine Informationen aus dem GECOS-Feld.
finger mary
Die Schattendatei
Um in die Datei „/etc/shadow“ zu schauen, müssen Sie sudo verwenden:
sudo less /etc/shadow
Die Datei wird angezeigt. Für jeden Eintrag in der Datei „/etc/passwd“ sollte es einen passenden Eintrag in der Datei „/etc/shadow“ geben.
Jede Zeile stellt ein einzelnes Konto dar, und es gibt neun durch Doppelpunkte getrennte Felder:
Benutzername: Der Anmeldename für das Konto.
Verschlüsseltes Kennwort: Das verschlüsselte Kennwort für das Konto.
Letzte Änderung: Das Datum, an dem das Passwort zuletzt geändert wurde.
Mindesttage: Die Mindestanzahl von Tagen, die zwischen Kennwortänderungen erforderlich ist. Die Person muss diese Anzahl von Tagen warten, bevor sie ihr Passwort ändern kann. Enthält dieses Feld eine Null, kann er sein Passwort beliebig oft ändern.
Maximale Tage: Die maximale Anzahl von Tagen, die zwischen Kennwortänderungen erforderlich sind. Normalerweise enthält dieses Feld eine sehr große Zahl. Der eingestellte Wert für „mary“ beträgt 99.999 Tage, also über 27 Jahre.
Alert Days: Die Anzahl der Tage vor dem Ablaufdatum des Passworts, um eine Erinnerungsnachricht anzuzeigen.
Sperre zurücksetzen: Nachdem ein Kennwort abgelaufen ist, wartet das System diese Anzahl von Tagen (eine Kulanzfrist), bevor es das Konto deaktiviert.
Ablaufdatum des Kontos: Das Datum, an dem sich der Kontoinhaber nicht mehr anmelden kann. Wenn dieses Feld leer ist, läuft das Konto nie ab.
Reservefeld: Ein leeres Feld für eine mögliche zukünftige Verwendung.
Leere Felder werden durch einen Doppelpunkt dargestellt.
Das Feld „Letzte Änderung“ als Datum abrufen
Der Unix-Epoche begann am 1. Januar 1970. Der Wert für das Feld „Letzte Änderung“ ist 18.209. Dies ist die Anzahl der Tage, nachdem am 1. Januar 1970 das Passwort für das Konto „mary“ geändert wurde.
Verwenden Sie diesen Befehl, um den Wert „Letzte Änderung“ als Datum anzuzeigen:
date -d "1970-01-01 18209 days"
Als Datum wird Mitternacht des Tages angezeigt, an dem das Passwort zuletzt geändert wurde. In diesem Beispiel war es der 9. November 2019.
Der passwd-Befehl
Sie verwenden den Befehl passwd um Ihr Passwort zu ändern, und – wenn Sie über Sudo-Berechtigungen verfügen – die Passwörter anderer.
Um Ihr Passwort zu ändern, verwenden Sie den Befehl passwd ohne Parameter:
passwd
Sie müssen Ihr aktuelles und Ihr neues Passwort zweimal eingeben.
Passwort einer anderen Person ändern
Um das Passwort eines anderen Kontos zu ändern, müssen Sie sudo verwenden und den Namen des Kontos angeben:
sudo passwd mary
Sie müssen Ihr Kennwort eingeben, um zu bestätigen, dass Sie über Superuser-Berechtigungen verfügen. Geben Sie das neue Kennwort für das Konto ein, und geben Sie es zur Bestätigung erneut ein.
Erzwingen einer Passwortänderung
Um jemanden zu zwingen, sein Passwort bei der nächsten Anmeldung zu ändern, verwenden Sie die Option -e (expire):
sudo passwd -e mary
Ihnen wird mitgeteilt, dass das Ablaufdatum des Passworts geändert wurde.
Wenn sich die Besitzerin des Kontos „mary“ das nächste Mal anmeldet, muss sie ihr Passwort ändern:
Ein Konto sperren
Um ein Konto zu sperren, geben Sie passwd mit der Option -l (lock) ein:
sudo passwd -l mary
Ihnen wird mitgeteilt, dass das Ablaufdatum des Passworts geändert wurde.
Der Kontoinhaber kann sich nicht mehr mit seinem Passwort am Computer anmelden. Um das Konto zu entsperren, verwenden Sie die Option -u (Entsperren):
sudo passwd -u mary
Auch hier werden Sie darüber informiert, dass die Ablaufdaten des Passworts geändert wurden:
Auch hier kann sich der Besitzer des Kontos nicht mehr mit seinem Passwort am Computer anmelden. Sie könnte sich jedoch immer noch mit einer Authentifizierungsmethode anmelden, die ihr Kennwort nicht erfordert, z. B. SSH-Schlüssel.
Wenn Sie wirklich jemanden vom Computer aussperren möchten, müssen Sie das Konto ablaufen lassen.
Das Wechselkommando
Nein, es gibt kein „n“ in chage. Es steht für „Change Age“. Sie können den Befehl change verwenden, um eine Ablaufdatum für ein gesamtes Konto.
Schauen wir uns die aktuellen Einstellungen für das Konto „mary“ mit der Option -l (Liste) an:
sudo chage -l mary
Das Ablaufdatum für das Konto ist auf „nie“ eingestellt.
Um das Ablaufdatum zu ändern, verwenden Sie die Option -E (Ablauf). Wenn Sie ihn auf Null setzen, wird dies als „Null Tage aus der Unix-Epoche“ interpretiert, dh 1. Januar 1970.
Geben Sie Folgendes ein:
sudo chage -E0 mary
Überprüfen Sie das Ablaufdatum des Kontos erneut:
sudo chage -l mary
Da das Ablaufdatum in der Vergangenheit liegt, ist dieses Konto jetzt wirklich gesperrt, unabhängig von der Authentifizierungsmethode, die der Besitzer möglicherweise verwendet.
Um das Konto wiederherzustellen, verwenden Sie denselben Befehl mit -1 als numerischer Parameter:
sudo chage -E -1 mary
Geben Sie Folgendes ein, um dies zu überprüfen:
sudo chage -l mary
Das Ablaufdatum des Kontos wird auf „nie“ zurückgesetzt.
Ändern eines Kontopassworts in GNOME
Ubuntu und viele andere Linux-Distributionen verwenden GNOME als Standard-Desktop-Umgebung. Über den Dialog „Einstellungen“ können Sie das Passwort für ein Konto ändern.
Klicken Sie dazu im Systemmenü auf das Symbol Einstellungen.
Klicken Sie im Dialogfeld „Einstellungen“ im linken Bereich auf „Details“ und dann auf „Benutzer“.
Klicken Sie auf das Konto, für das Sie das Passwort ändern möchten; In diesem Beispiel wählen wir „Mary Quinn“. Klicken Sie auf das Konto und dann auf „Entsperren“.
Sie werden zur Eingabe Ihres Passworts aufgefordert. Nachdem Sie sich authentifiziert haben, können die Details von „Mary“ bearbeitet werden. Klicken Sie auf das Feld „Passwort“.
Klicken Sie im Dialog „Passwort ändern“ auf das Optionsfeld „Jetzt Passwort festlegen“.
Geben Sie das neue Passwort in die Felder „Neues Passwort“ und „Neues Passwort bestätigen“ ein.
Stimmen die Passworteingaben überein, wird die Schaltfläche „Ändern“ grün; klicken Sie darauf, um das neue Passwort zu speichern.
In anderen Desktop-Umgebungen ähneln die Kontotools denen in GNOME.
Bleib sicher, bleib sicher
Seit 60 Jahren ist das Passwort ein wesentlicher Bestandteil der Sicherheit von Online-Konten und wird so schnell nicht verschwinden.
Aus diesem Grund ist es wichtig, sie mit Bedacht zu verwalten. Wenn Sie die Mechanismen von Kennwörtern unter Linux verstehen und die besten Kennwortpraktiken anwenden, können Sie Ihr System sicher halten.