it-swarm.com.de

Warum braucht man unter Unix ein sicheres Passwort?

  • SSH-Server: Ich erlaube nur die Authentifizierung mit öffentlichem Schlüssel.

  • Schädliche Software: Wenn sie als mein Benutzer ausgeführt wird, hat sie Zugriff auf meine Daten und eine Internetverbindung, es ist bereits schlimm genug. Ja, su-Zugriff würde es noch schlimmer machen, aber das Problem hier ist nicht die Kennwortstärke, sondern das Vertrauen in eine bösartige Anwendung.

  • Physischer Zugriff: Der Zugriff ist zu diesem Zeitpunkt irrelevant. Der Angreifer hat physischen Zugriff auf meine Festplatte, sodass er tun kann, was er möchte.

In welchem ​​Szenario hilft es mir also, ein sicheres Passwort zu haben, das fehleranfällig für die Eingabe ist?

51
Alex

Sie scheinen ein ziemlich klares Verständnis für die Risiken zu haben. Wie andere angegeben haben, wird dringend empfohlen, ein sicheres Kennwort zu verwenden. Wenn Sie also einen vertraulichen Dienst ausführen, verwenden Sie auf jeden Fall nur sichere Kennwörter.

Wenn Sie ein schwaches Passwort verwenden, fallen Ihnen einige Risiken ein, die Sie nicht erwähnt haben:

  1. Neben SSH gibt es möglicherweise noch andere Dienste (z. B. FTP oder andere), die weiterhin eine kennwortbasierte Authentifizierung akzeptieren. Es ist durchaus möglich, dass einer dieser Dienste verfügbar sein wird versehentlich irgendwann in der Zukunft aktiviert, oder ein Systemadministrator kann vorübergehend Aktivieren Sie die kennwortbasierte Authentifizierung auf dem SSH.

  2. Es gibt einen wichtigen Punkt, den Sie in Bezug auf bösartige Anwendungen nicht erwähnt haben. Im Falle eines Eindringens in ein Konto, das nicht -root ist, ist es äußerst wichtig, um ein Upgrade auf root access zu verhindern. Wenn das Kennwort root schwach ist, besteht dort möglicherweise eine offene Sicherheitslücke durch Brute Force. Angenommen, es gibt ein anderes Konto mit der Berechtigung Sudo, benötigen diese ebenfalls sichere Kennwörter.

Entlassen Sie nicht die Wichtigkeit, zu verhindern, dass böswillige Anwendungen root Zugriff erhalten. und achten Sie auf das Risiko von Änderungen in Ihrer Konfiguration. Es besteht auch die starke Möglichkeit, dass Sie und ich kennen nicht die gleichen Angriffsmethoden wie Ihr Gegner.

Möglicherweise können Sie die Länge des Kennworts erhöhen, um die verringerte Komplexität auszugleichen und so die Eingabe zu vereinfachen. Als Touch-Schreibkraft fällt es mir allerdings schwer, mich auf Ihr Problem zu beziehen.

62
Bryan Field

Sie benötigen kein sicheres Passwort.

Der Rat bezüglich des Passworts ist, wie so viele andere, ein sicherer Standard, den wir Sicherheitsexperten geben, weil es normalerweise ein guter Rat ist, viele Leute (und Unternehmen) das Risiko nicht sehr gut verstehen und in Im Zweifelsfall auf der Seite der Vorsicht irren.

Wenn Sie die Risiken nicht nur verstehen, sondern bereits mindern, sind Sie gut. Ich selbst verwende aus dem gleichen Grund ein dreistelliges Passwort auf meinem Heimcomputer: Die Hauptbedrohung, gegen die ich mich verteidigen muss, besteht darin, dass eine Katze über die Tastatur läuft, den Computer entsperrt und irgendwie auf die Tastenkombination "Alles löschen" tritt.

Es gibt viele andere Szenarien, in denen Sie ein sicheres Passwort wünschen. In der Tat tun Sie dies in den meisten Fällen. Deshalb ist ein starkes Passwort normalerweise ein guter Rat. Aber jeder, der Ihnen sagt, dass Sie unabhängig vom Bedrohungsmodell immer ein sicheres Passwort haben müssen, versteht die Sicherheit nicht.

13
Tom

Einerseits ist die Tatsache, dass Sie nicht wissen. Ein starkes Passwort ist die Tiefenverteidigung. Angenommen, Sie (oder eine andere Person) installieren einen zusätzlichen Dienst, der auch die Unix-Authentifizierung verwendet. Beispiel: FTP: Vergessen, dass es keine sichere Kennwortrichtlinie gibt, und Vergessen, nicht benötigte lokale Benutzer zu deaktivieren. Jetzt haben Sie eine Sicherheitslücke.

Auf der anderen Seite ist es einfacher anzugeben, dass Sie ein sicheres Kennwort benötigen, als alle Bedingungen anzugeben, unter denen kein sicheres Kennwort erforderlich ist. Wenn Sie wissen, was Sie tun, und es richtig machen, können Sie möglicherweise Dinge so einrichten, dass Sie nicht einmal mehr ein Anmeldekennwort benötigen. An diesem Punkt haben Sie auch die Möglichkeit, "Sie brauchen ein sicheres Passwort" für das zu nehmen, was es wert ist.

7
LSerni

Ich denke, die Frage sollte lauten: "Warum NICHT ein sicheres Passwort verwenden?".

Meiner Meinung nach ist ein sicheres Passwort die Grundlage eines jeden sicheren Systems. Sie haben einige Sicherheitsvorkehrungen erwähnt, aber einige andere Angriffsmethoden vergessen: Wenn Ihr Server beispielsweise ein Webserver ist und Sie durch einen Code-Ausführungsangriff gefährdet werden, hat der Angreifer nur Zugriff auf den Benutzer www-data, aber wenn Sie Mit schwachen Root-Passwörtern kann der Angreifer leicht Berechtigungen eskalieren. Wenn beispielsweise die von Ihnen verwendete FTP-Software eine Sicherheitsanfälligkeit aufweist und jemand diese ausnutzt, kann er problemlos root werden.

Angriffe werden nicht nur von "bösartiger Software" ausgeführt: Ein einfacher, nicht gepatchter Apache kann Ihr System gefährden.

Denken Sie daran, dass Sie sichere Passwörter haben können, die leicht zu merken sind. Denken Sie an Ihre bevorzugte Phrase, ändern Sie sie mit wenigen Zahlen und Sonderzeichen, und das ist bereits mehr als genug. Beispiel: Nehmen Sie den Satz "Ich liebe Zimtschnecken aus Tesco-Läden" und Sie können ein sicheres Passwort erhalten: "1lovecinnamon !!! Brötchen !!! fromtescostores !!"

6
Ricardo Reimao

Ein Angreifer kann möglicherweise auf ein eingeschränktes Konto auf Ihrem Computer zugreifen und nicht auf Ihr Benutzerkonto. Beispielsweise können Sie Systemdienste haben, die entweder als Benutzer "niemand" oder als dienstspezifisches Konto wie "httpd" oder ähnliches ausgeführt werden. Es gibt häufig Möglichkeiten, wie ein Angreifer auf ein solches Konto zugreifen kann, jedoch nicht auf ein vollständiges Benutzerkonto (z. B. können einige Dienste Dateien mit einem derart eingeschränkten Benutzer ausführen, und ein Angreifer hat möglicherweise eine Möglichkeit gefunden, Dateien an einen Ort zu verschieben, an dem sie sich befinden Sie werden ausgeführt, ohne dass Sie sich vollständig anmelden müssen. Auf diese Weise kann ein Angreifer Befehle wie su ausführen, jedoch nicht auf geschützte Dateien zugreifen und Ihr Kennwort als letzte Verteidigungslinie belassen.

1
Jules

Typische Bereitstellungen von Passwort-/Geheimmanagern wie gnome-keyring oder einige Verschlüsselungsschemata für den Heimatbereich oder die Datei verwenden Ihr Anmeldekennwort für die Verschlüsselung.

In diesen Szenarien erleichtert ein schwaches Kennwort jemandem die Wiederherstellung Ihrer geheimen Daten, wenn er Zugriff auf eine Kopie des Festplatteninhalts erhält (z. B. von einem Backup oder einem unbeaufsichtigten Laptop).

1

Wenn Sie mit dem Netz verbunden sind oder über Unterlagen verfügen, die Sie nicht stehlen oder durchsuchen möchten, sind sichere Kennwörter ein Muss. Egal welches Betriebssystem es ist.

Um dies zu beweisen, setzen Sie Netshark auf Ihr System und beobachten Sie, wie viele nicht autorisierte Eingabeversuche durchgeführt werden.

0
user17315