Manpage  — PASSWD

passwd - Das Passwort des Benutzers ändern

ÜBERSICHT BESCHREIBUNG Passwort-Änderungen Gruppen-Passwörter Passwort-Ablaufinformationen Account-Pflege Hinweise für Benutzer-Passwörter Bemerkungen zu Gruppen-Passwörtern WARNUNG DATEIEN SIEHE AUCH AUTOR

passwd [-f|-s] [name]
passwd [-g] [-r|R] gruppe
passwd [-x max] [-n min] [-w warn] [-i inakt] name
passwd {-l|-u|-d|-S|-e} name

passwd ändert Passwörter für Benutzer- und Gruppen-Accounts. Ein normaler Benutzer kann nur das Passwort für seinen eigenen Account ändern, der Superuser dagegen für jeden beliebigen. Der Administrator einer Gruppe kann das Passwort für die Gruppe ändern. passwd ändert auch Account-Informationen, so wie den vollen Namen des Benutzers, seine Login-Shell oder Passwort-Ablaufzeiten- und Intervalle.

Der Benutzer wird zuerst nach seinem alten Passwort gefragt, sofern es eines gibt. Dieses Passwort wird dann verschlüsselt und mit dem gespeicherten Passwort verglichen. Der Benutzer hat nur einen Versuch, das Passwort richtig einzugeben. Dem Superuser ist es erlaubt, diesen Schritt zu überspringen, so dass vergessene Passwörter geändert werden können.

Nachdem das Passwort eingegeben wurde, werden die Alterungsinformationen ausgewertet, um festzustellen, ob der Benutzer sein Passwort jetzt ändern darf. Wenn nicht, verweigert passwd die Änderung und beendet sich.

Der Benutzer wird anschließend nach einem neuen Passwort gefragt. Dieses Passwort wird auf seine Komplexität hin getestet. Als Richtlinie gilt, dass Passwörter aus 6 bis 8 Zeichen bestehen sollten, und dabei jeweils mindestens ein Zeichen aus den folgenden Mengen enthalten sollten:

	Kleinbuchstaben
	Großbuchstaben
	Ziffern 0 bis 9
	Interpunktionzeichen

Dabei muss darauf geachtet werden, nicht die die systemweit voreingestellten Löschzeichen zu verwenden. passwd weist nicht hinreichend komplexe Passwörter zurück.

Wird das Passwort akzeptiert, so fragt passwd erneut nach und vergleicht den zweiten Eintrag mit dem ersten. Beide müssen übereinstimmen, damit die Änderung vorgenommen wird.

Wenn die Option -g benutzt wird, wird das Passwort für die angegebene Gruppe geändert. Der Benutzer muss der Superuser oder ein Gruppenadministrator der benannten Gruppe sein. Das aktuelle Gruppenpasswort wird nicht abgefragt. Die Option -r wird gemeinsam mit -g benutzt, um das aktuelle Passwort der benannten Gruppe zu entfernen. Dies erlaubt Gruppenzugriff für alle Mitglieder. Die Option -R wird gemeinsam mit -g benutzt, um die angegebene Gruppe für alle Benutzer zu beschränken.

Die Alterungsinformationen für ein Passwort können vom Superuser mit den Optionen -x, -n, -w und -i geändert werden. Die Option -x wird benutzt, um die maximale Gültigkeitsdauer eines Passworts in Tagen zu setzen. Nach max Tagen muss das Passwort geändert werden. Die Option -n wird benutzt, um die minimale Gültigkeitsdauer eines Passworts in Tagen zu setzen. Dem Benutzer ist es vor Ablauf von min Tagen nicht gestattet, das Passwort zu ändern. Die Option -w bestimmt, wieviele Tage vor Ablauf des Passworts der Benutzer eine Warnung erhält. Die Warnung erscheint warn Tage vor Ablauf und teilt dem Benutzer mit, wie viele Tage ihm noch bis dahin verbleiben. Die Option -i wird benutzt, um einen Account zu sperren, nachdem das Passwort eine bestimmte Zahl Tage abgelaufen war. Nachdem ein Account inact Tage ein abgelaufenes Passwort gehabt hat, kann der Benutzer sich nicht mehr anmelden.

Benutzer-Accounts können mit den Flags -l und -u gesperrt und entsperrt werden. Die Option -l sperrt einen Account, indem das Passwort in einen Wert geändert wird, der keinem möglichen verschlüsselten Wert entspricht. Die Option -u entsperrt den Account wieder, indem das Passwort auf den vorherigen Wert zurückgesetzt wird.

Wenn die Gültigkeit des Passworts eines Accounts unverzüglich ablaufen soll, kann die Option -e benutzt werden. Dies zwingt den Benutzer dazu, das Passwort beim nächsten Einloggen zu ändern. Es kann auch die Option -d benutzt werde, um das Passwort eines Benutzers zu löschen (es auf das leere Passwort zu setzen). Beim Umgang mit dieser Option ist Vorsicht geboten, da sie unter Umständen dazu führt, dass der Account überhaupt kein Passwort benötigt; das lässt das System offen für Eindringlinge.

Der Status eines Accounts wird mit der Option -S ausgegeben. Diese Statusinformation besteht aus 6 Teilen. Der erste Teil gibt an, ob ein Benutzer-Account gesperrt ist (L), kein Passwort (NP) oder ein nutzbares Passwort (P) hat. Der zweite Teil gibt das Datum der letzten Passwortänderung an. Die nächsten vier Teile sind das Minimalalter, Maximalalter, Warnungszeitraum und Inaktivierungszeitraum für das Passwort.

Die Sicherheit eines Passworts hängt von der Stärke des Verschlüsselungsalgorithmus' und der Größe des Schlüsselraumes ab. Die UNIX-System-Verschlüsselungsmethode beruht auf dem NBS-DES-Algorithmus und ist sehr sicher. Die Größe des Schlüsselraumes hängt von der Zufälligkeit des ausgewählten Passworts ab.

Die Option -s veranlasst passwd, chsh aufzurufen, um die Shell des Benutzers zu ändern. Genauso wird bei der Option -f das Programm chfn aufgerufen, um das Gecos-Feld der Benutzer-Information zu ändern. Diese Optionen sind nur aus Kompatibilitätsgründen vorhanden, da die anderen Programme direkt aufgerufen werden.

Einschränkungen der Passwortsicherheit rühren meist von sorgloser Auswahl oder Handhabung der Passwörter her. Aus diesem Grund sollte ein Passwort gewählt werden, das nicht in einem Wörterbuch auftaucht und auch nicht niedergeschrieben werden muss. Das Passwort sollte auch kein Eigenname, das Kfz-Kennzeichen des Benutzers oder gar Geburtsdatum oder Anschrift sein. Diese können alle als Ausgangspunkt zum Erraten benutzt werden und gefährden damit die Systemsicherheit.

Das Passwort muss sich auch leicht merken lassen, so dass man es nicht auf ein Stück Papier schreiben muss. Dies kann erreicht werden, indem man zwei kurze Wörter zusammenfügt und sie mit einem Sonderzeichen oder einer Ziffer verbindet, zum Beispiel Pass%wort.

Andere Konstruktionsmethoden umfassen die Auswahl einer leicht merkbaren Phrase aus der Literatur und die Auswahl des ersten Buchstaben eines jeden Wortes. Ein Beispiel dafür ist:

	Leben Sie lange und in Frieden.

welches Folgendes ergibt:

	LSluiF.

Man kann sich ziemlich sicher sein, dass nur wenige Cracker das in ihren Wortlisten haben werden. Man sollte sich allerdings eigene Methoden zur Konstruktion von Passwörtern aussuchen und sich nicht nur auf die hier angegebenen Methoden verlassen.

Gruppenpasswörter sind ein angeborenes Sicherheitsproblem, da es mehr als einer Person erlaubt ist, das Passwort zu kennen. Gruppen sind allerdings ein nützliches Werkzeug, um Kooperation verschiedener Benutzer zu ermöglichen.

Möglicherweise werden nicht alle Optionen unterstützt. Passwort-Komplexitäts-Überprüfungen mögen von Standort zu Standort unterschiedlich sein. Dem Benutzer wird nahegelegt, ein Passwort zu wählen, das so komplex ist, wie es ihm noch angenehm ist. Benutzern ist es eventuell nicht möglich, ihr Passwort zu ändern, wenn NIS angeschaltet ist und sie nicht am NIS-Server angemeldet sind.

/etc/passwd
	Benutzer-Informationen
/etc/shadow
	Verschlüsselte passwörter der Benutzer

Julianne Frances Haugh <jfh@austin.ibm.com>