os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Update to r44302:

Browse source 
Editorial review of first 1/2 of OPIE chapter.

Reviewed by:	bcr
Differential Revision:	https://reviews.freebsd.org/D6189
This commit is contained in:
Bjoern Heidotting 2016-05-03 18:27:25 +00:00
parent 084314f88d
commit 472566b1b6
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=48775
1 changed files with 70 additions and 68 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

138
de_DE.ISO8859-1/books/handbook/security/chapter.xml
View file

@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
basiert auf: r43764
basiert auf: r44302
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
<info><title>Sicherheit</title>
@ -732,32 +732,27 @@ cat changed
<para>In der Voreinstellung unterstützt &os;
<foreignphrase>One-time Passwords in Everything</foreignphrase>
(<acronym>OPIE</acronym>), das in der Voreinstellung
MD5-Hash-Funktionen einsetzt.</para>
(<acronym>OPIE</acronym>). <acronym>OPIE</acronym> wurde
konzipiert um Replay-Angriffe zu verhindern, bei dem ein
Angreifer das Passwort eines Benutzers ausspäht und es
benutzt, um Zugriff auf ein System zu erlangen. Da ein Passwort
unter <acronym>OPIE</acronym> nur einmal benutzt wird, ist ein
ausgespähtes Passwort für einen Angreifer nur von geringem
Nutzen. <acronym>OPIE</acronym> verwendet eine sichere
Hash-Funktion und ein Challenge/Response-System, um Passwörter
zu verwalten. Die &os;-Implementation verwendet in der
Voreinstellung die <acronym>MD5</acronym>-Hash-Funktion.</para>
<para>Es gibt drei verschiedene Arten von Passwörtern. Das erste
ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist
das Einmalpasswort, das von <command>opiekey</command> generiert
und von <command>opiepasswd</command> und dem Anmeldeprompt
akzeptiert wird. Das dritte Passwort ist das
<quote>geheime Passwort</quote>, das mit
<command>opiekey</command> (manchmal auch mit
<command>opiepasswd</command>) zum Erstellen der
Einmalpasswörter verwendet wird.</para>
<para><acronym>OPIE</acronym> verwendet drei verschiedene Arten
von Passwörtern. Das erste ist das normale &unix;- oder
Kerberos-Passwort. Das zweite ist das Einmalpasswort, das von
<command>opiekey</command> generiert wird. Das dritte Passwort
ist das <quote>geheime Passwort</quote>, das zum Erstellen der
Einmalpasswörter verwendet wird. Das geheime Passwort steht in
keiner Beziehung zum &unix;-Passwort und beide Passwörter
sollten unterschiedlich sein.</para>
<para>Das geheime Passwort steht in keiner Beziehung zum
&unix;-Passwort. Beide können gleich sein, obwohl das nicht
empfohlen wird. Die geheimen Passwörter von
<acronym>OPIE</acronym> sind nicht auf eine Länge von 8 Zeichen,
wie alte &unix; Passwörter<footnote>
<para>Unter &os; darf das System-Passwort maximal
128 Zeichen lang sein.</para></footnote>, beschränkt.
Gebräuchlich sind Passwörter, die sich aus sechs bis sieben
Wörtern zusammensetzen. Das <acronym>OPIE</acronym>-System
arbeitet vollständig unabhängig von den auf &unix;-Systemen
verwendeten Passwort-Mechanismen.</para>
<para>Neben dem Passwort gibt es noch zwei Werte, die für
<para>Es gibt noch zwei weitere Werte, die für
<acronym>OPIE</acronym> wichtig sind. Der erste ist der
<quote>Initialwert</quote> (engl.
<foreignphrase>seed</foreignphrase> oder
@ -766,9 +761,9 @@ cat changed
<quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100.
<acronym>OPIE</acronym> generiert das Einmalpasswort, indem
es den Initialwert und das geheime Passwort aneinander hängt
und dann die MD5-Hash-Funktion so oft, wie durch den
Iterationszähler gegeben, anwendet. Das Ergebnis wird in
sechs englische Wörter umgewandelt, die das Einmalpasswort
und dann die <acronym>MD5</acronym>-Hash-Funktion so oft, wie
durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird
in sechs englische Wörter umgewandelt, die das Einmalpasswort
ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich
das zuletzt benutzte Einmalpasswort und der Benutzer ist
authentifiziert, wenn die Hash-Funktion des Passworts dem
@ -778,42 +773,37 @@ cat changed
berechnen. Der Iterationszähler wird nach jeder erfolgreichen
Anmeldung um eins verringert und stellt so die Synchronisation
zwischen Benutzer und Login-Programm sicher. Wenn der
Iterationszähler den Wert 1 erreicht, muss
Iterationszähler den Wert <literal>1</literal> erreicht, muss
<acronym>OPIE</acronym> neu initialisiert werden.</para>
<para>Es gibt ein paar Programme, die in diesen Prozess einbezogen
werden. &man.opiekey.1; akzeptiert einen Iterationszähler,
einen Initialwert und ein geheimes Passwort. Daraus generiert
es ein Einmalpasswort oder eine Liste von Einmalpasswörtern.
&man.opiepasswd.1; wird benutzt, um Passwörter, Iterationszähler
oder Initialwerte zu ändern. Als Parameter verlangt es
entweder ein geheimes Passwort oder einen Iterationszähler
oder einen Initialwert und ein Einmalpasswort.
werden. Ein Einmalpasswort oder eine Liste von
Einmalpasswörtern, die von &man.opiekey.1; durch Angabe eines
Iterationszählers, eines Initalwertes und einem geheimen
Passwort generiert wird. &man.opiepasswd.1; wird benutzt, um
Passwörter, Iterationszähler oder Initialwerte zu ändern.
&man.opieinfo.1; hingegen gibt den momentanen Iterationszähler
und Initialwert eines Benutzers aus, den es aus
<filename>/etc/opiekeys</filename> ermittelt.</para>
<!-- Credential Dateien -->
<para>Es gibt vier verschiedene Arten von Tätigkeiten. Zuerst
wird erläutert, wie &man.opiepasswd.1; über eine gesicherte
Verbindung eingesetzt werden, um Einmalpasswörter das erste Mal
zu konfigurieren oder das Passwort oder den Initialwert zu
ändern. Als nächstes wird erklärt, wie &man.opiepasswd.1; über
eine nicht gesicherte Verbindung, oder zusammen mit
&man.opiekey.1; über eine gesicherte Verbindung eingesetzt
werden, um dasselbe zu erreichen. Als drittes wird beschrieben,
wie &man.opiekey.1; genutzt wird, um sich über eine nicht
gesicherte Verbindung anzumelden. Die vierte Tätigkeit
beschreibt, wie mit &man.opiekey.1; eine Reihe von Schlüsseln
generiert wird, die Sie sich aufschreiben oder ausdrucken
können, um sich von Orten anzumelden, die über keine gesicherten
Verbindungen verfügen.</para>
<para>Dieser Abschnitt beschreibt vier verschiedene Arten von
Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über
eine gesicherte Verbindung konfiguriert werden. Als nächstes
wird erklärt, wie <command>opiepasswd</command> über
eine nicht gesicherte Verbindung eingesetzt wird. Als drittes
wird beschrieben, wie man sich über eine nicht gesicherte
Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man
eine Reihe von Schlüsseln generiert, die man sich aufschreiben
oder ausdrucken kann, um sich von Orten anzumelden, die über
keine gesicherten Verbindungen verfügen.</para>
<sect2>
<title>Einrichten über eine gesicherte Verbindung</title>
<title><acronym>OPIE</acronym> initialisieren</title>
<para>Um <acronym>OPIE</acronym> erstmals zu initialisieren,
rufen Sie &man.opiepasswd.1; auf:</para>
rufen Sie &man.opiepasswd.1; über eine gesicherte Verbindung
auf:</para>
<screen>&prompt.user; <userinput>opiepasswd -c</userinput>
[grimreaper] ~ $ opiepasswd -f -c
@ -829,27 +819,39 @@ ID unfurl OTP key is 499 to4268
MOS MALL GOAT ARM AVID COED
</screen>
<para>Nach der Aufforderung <prompt>Enter new secret pass phrase:</prompt>
oder <prompt>Enter secret password:</prompt> geben Sie bitte Ihr
Passwort ein. Dies ist nicht das Passwort, mit dem Sie sich
anmelden, sondern es wird genutzt, um das Einmalpasswort
zu generieren. Die Zeile, die mit <quote>ID</quote> anfängt,
enthält Ihren Login-Namen, den Iterationszähler und den
Initialwert. Diese Werte müssen Sie sich nicht merken, da
das System sie zeigen wird, wenn Sie sich anmelden. In der letzten
Zeile steht das Einmalpasswort, das aus diesen Parametern
und Ihrem geheimen Passwort ermittelt wurde. Bei der nächsten
Anmeldung müssen Sie dann dieses Einmalpasswort
benutzen.</para>
<para>Die Option <option>-c</option> startet den Konsolen-Modus,
der davon ausgeht, dass der Befehl von einem sicherem Ort
ausgeführt wird. Dies kann beispielsweise der eigene Rechner
sein, oder über eine mit <acronym>SSH</acronym> gesicherte
Verbindung zum eigenen Rechner.</para>
<para>Geben Sie das geheime Passwort ein, wenn Sie danach
gefragt werden. Damit werden die Einmalpasswörter generiert.
Dieses Passwort sollte schwer zu erraten sein und sich
ebenfalls vom Passwort des Bentuzerkontos unterscheiden. Es
muss zwischen 10 und 127 Zeichen lang sein. Prägen Sie sich
dieses Passwort gut ein!</para>
<para>Die Zeile, die mit <quote>ID</quote> beginnt, enthält den
Login-Namen (<literal>unfrul</literal>), den voreingestellten
Iterationszähler (<literal>499</literal>) und den Initialwert
(<literal>to4268</literal>). Das System erinnert sich an
diese Parameter und wird sie bei einem Anmeldeversuch
anzeigen. Sie brauchen sich diese Dinge also nicht merken.
Die letzte Zeile enthält das generierte Einmalpasswort, das
aus den Parametern und dem geheimen Passwort ermittelt wurde.
Bei der nächsten Anmeldung muss dann diese Einmalpasswort
benutzt werden.</para>
</sect2>
<sect2>
<title>Einrichten über eine nicht gesicherte Verbindung</title>
<title>Initialisierung über eine nicht gesicherte
Verbindung</title>
<para>Um Einmalpasswörter über eine nicht gesicherte Verbindung
einzurichten, oder das geheime Passwort zu ändern, müssen Sie
über eine gesicherte Verbindung zu einer Stelle verfügen, an
der Sie &man.opiekey.1; ausführen können. Dies kann etwa die
zu initialisieren, oder das geheime Passwort zu ändern, müssen
Sie über eine gesicherte Verbindung zu einer Stelle verfügen,
an der Sie <command>opiekey</command> ausführen können. Dies kann etwa die
Eingabeaufforderung auf einer Maschine sein, der Sie
vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben
(100 ist ein guter Wert) und einen Initialwert wählen, wobei