Seite 1 von 1

root-Passwort - Umgang

Verfasst: 17.04.2017 11:07:28
von mod3
Moin!

Allgemeine Frage: Wie handhabt ihr eure root-Kennwörter? Also auf meinen Servern ist es meist so, dass ein SSH-Login nur mit Key möglich ist und sich praktisch nie jemand mit nem Bildschirm an den Server setzen würde.
Daher lege ich meist Passwörter von um die 100 Zeichen Länge fest, die ich dann für den Notfall zwar notiere, die aber im Grunde nie benutzt werden.

Re: root-Passwort - Umgang

Verfasst: 17.04.2017 16:36:28
von uname
Intranet, Internet? Niemand braucht mehr als 20-stellige Passwörter, eher weit aus kürzere. Die Risiken liegen ganz woanders. Vollkommen egal wie lang das Passwort ist. Hat noch nie einen Angreifer interessiert.

Re: root-Passwort - Umgang

Verfasst: 17.04.2017 16:37:44
von mod3
Beides.

Hm, aber was spricht dagegen?
Wo liegen die Gefahren deiner Meinung nach dann z.B.?

Re: root-Passwort - Umgang

Verfasst: 17.04.2017 16:38:50
von uname
In den von außen erreichbaren Anwendungen wie SSH oder Apache2. Das 100-stelllige oder 10-stellige Passwort kann sowieso nur mit der nur von root erreichbaren Passwortdatei gehackt werden.

Re: root-Passwort - Umgang

Verfasst: 17.04.2017 17:48:15
von spiralnebelverdreher
mod3 hat geschrieben:Hm, aber was spricht dagegen?
Wo liegen die Gefahren deiner Meinung nach dann z.B.?
Ein Passwort mit 100 Zeichen kann sich kein Mensch merken (von Trivialfällen wie 100 mal "D" oder sonstigen Wiederholungen abgesehen). Also muss es notiert werden, ausgedruckt, einem Passwortspeicher anvertraut werden etc. Eine Gefahr kann aus dem unsorgsamen Umgang mit diesen Speichermedien entstehen. Die richtige Entscheidung hängt - wie so oft - vom Einzelfall ab.

Re: root-Passwort - Umgang

Verfasst: 19.04.2017 14:38:15
von breakthewall
mod3 hat geschrieben:Moin!

Allgemeine Frage: Wie handhabt ihr eure root-Kennwörter? Also auf meinen Servern ist es meist so, dass ein SSH-Login nur mit Key möglich ist und sich praktisch nie jemand mit nem Bildschirm an den Server setzen würde.
Daher lege ich meist Passwörter von um die 100 Zeichen Länge fest, die ich dann für den Notfall zwar notiere, die aber im Grunde nie benutzt werden.
Ein SSH-Login nur per Public-Key-Verfahren sollte Standard sein, wie auch ein reines Root-Login per Passwort generell zu verbieten.
Jedoch hat diese Passwortlänge keinen realen Effekt, ausser einem vielleicht etwas besseren Gefühl. Denn ein Passwort das mehr Entropie aufweist, als das zugrundeliegende Verfahren mit dem es verschlüsselt wurde, bringt keinen Mehrgewinn an Sicherheit. Und hier ginge es um SHA-512, wo ein Passwort bis maximal 64 Stellen einen realen Wert hat. Alles darüber ist gänzlich nur für das Ego dienlich, wenn es einem damit besser geht.

Eine kleine Rechnung um mal zu verdeutlichen was das eigentlich bedeutet:

Hat man nun ein Passwort bestehend aus Zahlen, Groß -und Kleinbuchstaben wie auch Sonderzeichen, dann würde das in der Summe maximal 95 mögliche Zeichen pro Stelle ergeben.

Rechnung: 95 Zeichen ^ 64 Stellen = 3,7*10^126 Kombinationen die als Passwörter in Frage kommen

Was bedeutet das nun hinsichtlich Rechenleistung?

Geht man nun von einer Rechenleistung aus von 1 exaFLOP oder auch 10^18 Gleitkommaoperationen pro Sekunde, was es erst in einigen Jahren geben wird, dann lässt sich das nun wie folgt berechnen:

Rechnung: 3,7*10^126 / 10^18 = 3,7*10^108 Sekunden = 3,7*10^101 Jahre um all diese Kombinationen abzuarbeiten

Ziemlich viel oder? Und das auch nur wenn man die Rechenleistung 1:1 umlegen kann, ohne Delays, Iterationen und dergleichen.

Und bei 32 Stellen, also 95^32 oder 1,9*10^63, wären das immer noch 6,1*10^37 Jahre. Bei 20 Stellen 1,1*10^14 Jahre und so weiter, wo deutlich ersichtlich ist, dass gute Passwörter auf diesem Wege nicht zu knacken sind, wenn hier keine ernste Lücke vorliegt, ein Trojaner oder sonstiges.

Es ist wirklich nicht notwendig riesige Passwörter oder auch Schlüsseldateien zu nutzen. Und wenn dann wird das meist nicht die Schwachstelle sein, sondern eher der Mensch oder ein unsicher konfiguriertes System.

Idealerweise nutzt man Passwörter mittels Verfahren die einfach zu merken sind. Es muss nicht unmöglich komplex sein um Sicherheit zu gewährleisten. Schon ein beliebiges Muster auf der Tastatur oder ein fiktiver Satz würde genügen, von dem jeweils die Anfangs -oder Endbuchstaben jedes Wortes genutzt werden um ein Passwort zu bilden. Ist einfach zu merken aber dennoch komplex. Natürlich kann man ebenso auch gänzlich fiktive Sätze ausschreiben, wodurch sehr schnell größere Passwortlängen erreicht werden.

Re: root-Passwort - Umgang

Verfasst: 19.04.2017 15:32:21
von seep
Mein Passwort ist "geheim", da kommt keiner drauf, ganz bestimmt nicht! :D

Aber: Mein root-User heißt gar nicht root. Und ansonsten ist keiner meiner Rechner vom Internet her erreichbar, Angriffe kommen wenn dann von innen, und da tut's der gute alte XKCD-Tipp.

Re: root-Passwort - Umgang

Verfasst: 19.04.2017 16:42:08
von hikaru
breakthewall hat geschrieben:Hat man nun ein Passwort bestehend aus Zahlen, Groß -und Kleinbuchstaben wie auch Sonderzeichen, dann würde das in der Summe maximal 95 mögliche Zeichen pro Stelle ergeben.

Rechnung: 95 Zeichen ^ 64 Stellen = 3,7*10^126 Kombinationen die als Passwörter in Frage kommen

Was bedeutet das nun hinsichtlich Rechenleistung?

Geht man nun von einer Rechenleistung aus von 1 exaFLOP oder auch 10^18 Gleitkommaoperationen pro Sekunde, was es erst in einigen Jahren geben wird, dann lässt sich das nun wie folgt berechnen:

Rechnung: 3,7*10^126 / 10^18 = 3,7*10^108 Sekunden = 3,7*10^101 Jahre um all diese Kombinationen abzuarbeiten
Demnach müsste die md5sum (1*10^13) eines einzelnen Characters immer noch ein brauchbares Passwort abgeben - zumindest bis ein Angreifer das Verfahren in Wörterbuchangriffen berücksichtigt (was vermutlich längst der Fall ist).
Als Gegenmaßnahme könnte man sich jetzt noch eine zufällige aber leicht merkbare Iterationstiefe von md5sum-Aufrufen ausdenken.

seep hat geschrieben:Angriffe kommen wenn dann von innen, und da tut's der gute alte XKCD-Tipp.
#936 ist in dem Szenario Augenwischerei. Wenn Angriffe von innen zu befürchten sind, dann greift # 538. ;)

Re: root-Passwort - Umgang

Verfasst: 19.04.2017 17:15:07
von seep
hikaru hat geschrieben:Wenn Angriffe von innen zu befürchten sind, dann greift # 538. ;)
8O :D