root-Passwort - Umgang

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
mod3

root-Passwort - Umgang

Beitrag von mod3 » 17.04.2017 11:07:28

Moin!

Allgemeine Frage: Wie handhabt ihr eure root-Kennwörter? Also auf meinen Servern ist es meist so, dass ein SSH-Login nur mit Key möglich ist und sich praktisch nie jemand mit nem Bildschirm an den Server setzen würde.
Daher lege ich meist Passwörter von um die 100 Zeichen Länge fest, die ich dann für den Notfall zwar notiere, die aber im Grunde nie benutzt werden.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: root-Passwort - Umgang

Beitrag von uname » 17.04.2017 16:36:28

Intranet, Internet? Niemand braucht mehr als 20-stellige Passwörter, eher weit aus kürzere. Die Risiken liegen ganz woanders. Vollkommen egal wie lang das Passwort ist. Hat noch nie einen Angreifer interessiert.

mod3

Re: root-Passwort - Umgang

Beitrag von mod3 » 17.04.2017 16:37:44

Beides.

Hm, aber was spricht dagegen?
Wo liegen die Gefahren deiner Meinung nach dann z.B.?

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: root-Passwort - Umgang

Beitrag von uname » 17.04.2017 16:38:50

In den von außen erreichbaren Anwendungen wie SSH oder Apache2. Das 100-stelllige oder 10-stellige Passwort kann sowieso nur mit der nur von root erreichbaren Passwortdatei gehackt werden.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: root-Passwort - Umgang

Beitrag von spiralnebelverdreher » 17.04.2017 17:48:15

mod3 hat geschrieben:Hm, aber was spricht dagegen?
Wo liegen die Gefahren deiner Meinung nach dann z.B.?
Ein Passwort mit 100 Zeichen kann sich kein Mensch merken (von Trivialfällen wie 100 mal "D" oder sonstigen Wiederholungen abgesehen). Also muss es notiert werden, ausgedruckt, einem Passwortspeicher anvertraut werden etc. Eine Gefahr kann aus dem unsorgsamen Umgang mit diesen Speichermedien entstehen. Die richtige Entscheidung hängt - wie so oft - vom Einzelfall ab.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: root-Passwort - Umgang

Beitrag von breakthewall » 19.04.2017 14:38:15

mod3 hat geschrieben:Moin!

Allgemeine Frage: Wie handhabt ihr eure root-Kennwörter? Also auf meinen Servern ist es meist so, dass ein SSH-Login nur mit Key möglich ist und sich praktisch nie jemand mit nem Bildschirm an den Server setzen würde.
Daher lege ich meist Passwörter von um die 100 Zeichen Länge fest, die ich dann für den Notfall zwar notiere, die aber im Grunde nie benutzt werden.
Ein SSH-Login nur per Public-Key-Verfahren sollte Standard sein, wie auch ein reines Root-Login per Passwort generell zu verbieten.
Jedoch hat diese Passwortlänge keinen realen Effekt, ausser einem vielleicht etwas besseren Gefühl. Denn ein Passwort das mehr Entropie aufweist, als das zugrundeliegende Verfahren mit dem es verschlüsselt wurde, bringt keinen Mehrgewinn an Sicherheit. Und hier ginge es um SHA-512, wo ein Passwort bis maximal 64 Stellen einen realen Wert hat. Alles darüber ist gänzlich nur für das Ego dienlich, wenn es einem damit besser geht.

Eine kleine Rechnung um mal zu verdeutlichen was das eigentlich bedeutet:

Hat man nun ein Passwort bestehend aus Zahlen, Groß -und Kleinbuchstaben wie auch Sonderzeichen, dann würde das in der Summe maximal 95 mögliche Zeichen pro Stelle ergeben.

Rechnung: 95 Zeichen ^ 64 Stellen = 3,7*10^126 Kombinationen die als Passwörter in Frage kommen

Was bedeutet das nun hinsichtlich Rechenleistung?

Geht man nun von einer Rechenleistung aus von 1 exaFLOP oder auch 10^18 Gleitkommaoperationen pro Sekunde, was es erst in einigen Jahren geben wird, dann lässt sich das nun wie folgt berechnen:

Rechnung: 3,7*10^126 / 10^18 = 3,7*10^108 Sekunden = 3,7*10^101 Jahre um all diese Kombinationen abzuarbeiten

Ziemlich viel oder? Und das auch nur wenn man die Rechenleistung 1:1 umlegen kann, ohne Delays, Iterationen und dergleichen.

Und bei 32 Stellen, also 95^32 oder 1,9*10^63, wären das immer noch 6,1*10^37 Jahre. Bei 20 Stellen 1,1*10^14 Jahre und so weiter, wo deutlich ersichtlich ist, dass gute Passwörter auf diesem Wege nicht zu knacken sind, wenn hier keine ernste Lücke vorliegt, ein Trojaner oder sonstiges.

Es ist wirklich nicht notwendig riesige Passwörter oder auch Schlüsseldateien zu nutzen. Und wenn dann wird das meist nicht die Schwachstelle sein, sondern eher der Mensch oder ein unsicher konfiguriertes System.

Idealerweise nutzt man Passwörter mittels Verfahren die einfach zu merken sind. Es muss nicht unmöglich komplex sein um Sicherheit zu gewährleisten. Schon ein beliebiges Muster auf der Tastatur oder ein fiktiver Satz würde genügen, von dem jeweils die Anfangs -oder Endbuchstaben jedes Wortes genutzt werden um ein Passwort zu bilden. Ist einfach zu merken aber dennoch komplex. Natürlich kann man ebenso auch gänzlich fiktive Sätze ausschreiben, wodurch sehr schnell größere Passwortlängen erreicht werden.

Benutzeravatar
seep
Beiträge: 544
Registriert: 31.10.2004 14:21:08
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: HSK

Re: root-Passwort - Umgang

Beitrag von seep » 19.04.2017 15:32:21

Mein Passwort ist "geheim", da kommt keiner drauf, ganz bestimmt nicht! :D

Aber: Mein root-User heißt gar nicht root. Und ansonsten ist keiner meiner Rechner vom Internet her erreichbar, Angriffe kommen wenn dann von innen, und da tut's der gute alte XKCD-Tipp.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: root-Passwort - Umgang

Beitrag von hikaru » 19.04.2017 16:42:08

breakthewall hat geschrieben:Hat man nun ein Passwort bestehend aus Zahlen, Groß -und Kleinbuchstaben wie auch Sonderzeichen, dann würde das in der Summe maximal 95 mögliche Zeichen pro Stelle ergeben.

Rechnung: 95 Zeichen ^ 64 Stellen = 3,7*10^126 Kombinationen die als Passwörter in Frage kommen

Was bedeutet das nun hinsichtlich Rechenleistung?

Geht man nun von einer Rechenleistung aus von 1 exaFLOP oder auch 10^18 Gleitkommaoperationen pro Sekunde, was es erst in einigen Jahren geben wird, dann lässt sich das nun wie folgt berechnen:

Rechnung: 3,7*10^126 / 10^18 = 3,7*10^108 Sekunden = 3,7*10^101 Jahre um all diese Kombinationen abzuarbeiten
Demnach müsste die md5sum (1*10^13) eines einzelnen Characters immer noch ein brauchbares Passwort abgeben - zumindest bis ein Angreifer das Verfahren in Wörterbuchangriffen berücksichtigt (was vermutlich längst der Fall ist).
Als Gegenmaßnahme könnte man sich jetzt noch eine zufällige aber leicht merkbare Iterationstiefe von md5sum-Aufrufen ausdenken.

seep hat geschrieben:Angriffe kommen wenn dann von innen, und da tut's der gute alte XKCD-Tipp.
#936 ist in dem Szenario Augenwischerei. Wenn Angriffe von innen zu befürchten sind, dann greift # 538. ;)

Benutzeravatar
seep
Beiträge: 544
Registriert: 31.10.2004 14:21:08
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: HSK

Re: root-Passwort - Umgang

Beitrag von seep » 19.04.2017 17:15:07

hikaru hat geschrieben:Wenn Angriffe von innen zu befürchten sind, dann greift # 538. ;)
8O :D

Antworten