os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Update to r44302:

Browse source 
Editorial review of first 1/2 of OPIE chapter.

Reviewed by:	bcr
Differential Revision:	https://reviews.freebsd.org/D6189
This commit is contained in:
Bjoern Heidotting 2016-05-03 18:27:25 +00:00
parent 084314f88d
commit 472566b1b6
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=48775
1 changed files with 70 additions and 68 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

138
de_DE.ISO8859-1/books/handbook/security/chapter.xml
View file

@ -5,7 +5,7 @@
$FreeBSD$ $FreeBSD$
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
basiert auf: r43764 basiert auf: r44302
--> -->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
<info><title>Sicherheit</title> <info><title>Sicherheit</title>
@ -732,32 +732,27 @@ cat changed
<para>In der Voreinstellung unterstützt &os; <para>In der Voreinstellung unterstützt &os;
<foreignphrase>One-time Passwords in Everything</foreignphrase> <foreignphrase>One-time Passwords in Everything</foreignphrase>
(<acronym>OPIE</acronym>), das in der Voreinstellung (<acronym>OPIE</acronym>). <acronym>OPIE</acronym> wurde
MD5-Hash-Funktionen einsetzt.</para> konzipiert um Replay-Angriffe zu verhindern, bei dem ein
Angreifer das Passwort eines Benutzers ausspäht und es
benutzt, um Zugriff auf ein System zu erlangen. Da ein Passwort
unter <acronym>OPIE</acronym> nur einmal benutzt wird, ist ein
ausgespähtes Passwort für einen Angreifer nur von geringem
Nutzen. <acronym>OPIE</acronym> verwendet eine sichere
Hash-Funktion und ein Challenge/Response-System, um Passwörter
zu verwalten. Die &os;-Implementation verwendet in der
Voreinstellung die <acronym>MD5</acronym>-Hash-Funktion.</para>
<para>Es gibt drei verschiedene Arten von Passwörtern. Das erste <para><acronym>OPIE</acronym> verwendet drei verschiedene Arten
ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist von Passwörtern. Das erste ist das normale &unix;- oder
das Einmalpasswort, das von <command>opiekey</command> generiert Kerberos-Passwort. Das zweite ist das Einmalpasswort, das von
und von <command>opiepasswd</command> und dem Anmeldeprompt <command>opiekey</command> generiert wird. Das dritte Passwort
akzeptiert wird. Das dritte Passwort ist das ist das <quote>geheime Passwort</quote>, das zum Erstellen der
<quote>geheime Passwort</quote>, das mit Einmalpasswörter verwendet wird. Das geheime Passwort steht in
<command>opiekey</command> (manchmal auch mit keiner Beziehung zum &unix;-Passwort und beide Passwörter
<command>opiepasswd</command>) zum Erstellen der sollten unterschiedlich sein.</para>
Einmalpasswörter verwendet wird.</para>
<para>Das geheime Passwort steht in keiner Beziehung zum <para>Es gibt noch zwei weitere Werte, die für
&unix;-Passwort. Beide können gleich sein, obwohl das nicht
empfohlen wird. Die geheimen Passwörter von
<acronym>OPIE</acronym> sind nicht auf eine Länge von 8 Zeichen,
wie alte &unix; Passwörter<footnote>
<para>Unter &os; darf das System-Passwort maximal
128 Zeichen lang sein.</para></footnote>, beschränkt.
Gebräuchlich sind Passwörter, die sich aus sechs bis sieben
Wörtern zusammensetzen. Das <acronym>OPIE</acronym>-System
arbeitet vollständig unabhängig von den auf &unix;-Systemen
verwendeten Passwort-Mechanismen.</para>
<para>Neben dem Passwort gibt es noch zwei Werte, die für
<acronym>OPIE</acronym> wichtig sind. Der erste ist der <acronym>OPIE</acronym> wichtig sind. Der erste ist der
<quote>Initialwert</quote> (engl. <quote>Initialwert</quote> (engl.
<foreignphrase>seed</foreignphrase> oder <foreignphrase>seed</foreignphrase> oder
@ -766,9 +761,9 @@ cat changed
<quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100. <quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100.
<acronym>OPIE</acronym> generiert das Einmalpasswort, indem <acronym>OPIE</acronym> generiert das Einmalpasswort, indem
es den Initialwert und das geheime Passwort aneinander hängt es den Initialwert und das geheime Passwort aneinander hängt
und dann die MD5-Hash-Funktion so oft, wie durch den und dann die <acronym>MD5</acronym>-Hash-Funktion so oft, wie
Iterationszähler gegeben, anwendet. Das Ergebnis wird in durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird
sechs englische Wörter umgewandelt, die das Einmalpasswort in sechs englische Wörter umgewandelt, die das Einmalpasswort
ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich
das zuletzt benutzte Einmalpasswort und der Benutzer ist das zuletzt benutzte Einmalpasswort und der Benutzer ist
authentifiziert, wenn die Hash-Funktion des Passworts dem authentifiziert, wenn die Hash-Funktion des Passworts dem
@ -778,42 +773,37 @@ cat changed
berechnen. Der Iterationszähler wird nach jeder erfolgreichen berechnen. Der Iterationszähler wird nach jeder erfolgreichen
Anmeldung um eins verringert und stellt so die Synchronisation Anmeldung um eins verringert und stellt so die Synchronisation
zwischen Benutzer und Login-Programm sicher. Wenn der zwischen Benutzer und Login-Programm sicher. Wenn der
Iterationszähler den Wert 1 erreicht, muss Iterationszähler den Wert <literal>1</literal> erreicht, muss
<acronym>OPIE</acronym> neu initialisiert werden.</para> <acronym>OPIE</acronym> neu initialisiert werden.</para>
<para>Es gibt ein paar Programme, die in diesen Prozess einbezogen <para>Es gibt ein paar Programme, die in diesen Prozess einbezogen
werden. &man.opiekey.1; akzeptiert einen Iterationszähler, werden. Ein Einmalpasswort oder eine Liste von
einen Initialwert und ein geheimes Passwort. Daraus generiert Einmalpasswörtern, die von &man.opiekey.1; durch Angabe eines
es ein Einmalpasswort oder eine Liste von Einmalpasswörtern. Iterationszählers, eines Initalwertes und einem geheimen
&man.opiepasswd.1; wird benutzt, um Passwörter, Iterationszähler Passwort generiert wird. &man.opiepasswd.1; wird benutzt, um
oder Initialwerte zu ändern. Als Parameter verlangt es Passwörter, Iterationszähler oder Initialwerte zu ändern.
entweder ein geheimes Passwort oder einen Iterationszähler
oder einen Initialwert und ein Einmalpasswort.
&man.opieinfo.1; hingegen gibt den momentanen Iterationszähler &man.opieinfo.1; hingegen gibt den momentanen Iterationszähler
und Initialwert eines Benutzers aus, den es aus und Initialwert eines Benutzers aus, den es aus
<filename>/etc/opiekeys</filename> ermittelt.</para> <filename>/etc/opiekeys</filename> ermittelt.</para>
<!-- Credential Dateien --> <!-- Credential Dateien -->
<para>Es gibt vier verschiedene Arten von Tätigkeiten. Zuerst <para>Dieser Abschnitt beschreibt vier verschiedene Arten von
wird erläutert, wie &man.opiepasswd.1; über eine gesicherte Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über
Verbindung eingesetzt werden, um Einmalpasswörter das erste Mal eine gesicherte Verbindung konfiguriert werden. Als nächstes
zu konfigurieren oder das Passwort oder den Initialwert zu wird erklärt, wie <command>opiepasswd</command> über
ändern. Als nächstes wird erklärt, wie &man.opiepasswd.1; über eine nicht gesicherte Verbindung eingesetzt wird. Als drittes
eine nicht gesicherte Verbindung, oder zusammen mit wird beschrieben, wie man sich über eine nicht gesicherte
&man.opiekey.1; über eine gesicherte Verbindung eingesetzt Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man
werden, um dasselbe zu erreichen. Als drittes wird beschrieben, eine Reihe von Schlüsseln generiert, die man sich aufschreiben
wie &man.opiekey.1; genutzt wird, um sich über eine nicht oder ausdrucken kann, um sich von Orten anzumelden, die über
gesicherte Verbindung anzumelden. Die vierte Tätigkeit keine gesicherten Verbindungen verfügen.</para>
beschreibt, wie mit &man.opiekey.1; eine Reihe von Schlüsseln
generiert wird, die Sie sich aufschreiben oder ausdrucken
können, um sich von Orten anzumelden, die über keine gesicherten
Verbindungen verfügen.</para>
<sect2> <sect2>
<title>Einrichten über eine gesicherte Verbindung</title> <title><acronym>OPIE</acronym> initialisieren</title>
<para>Um <acronym>OPIE</acronym> erstmals zu initialisieren, <para>Um <acronym>OPIE</acronym> erstmals zu initialisieren,
rufen Sie &man.opiepasswd.1; auf:</para> rufen Sie &man.opiepasswd.1; über eine gesicherte Verbindung
auf:</para>
<screen>&prompt.user; <userinput>opiepasswd -c</userinput> <screen>&prompt.user; <userinput>opiepasswd -c</userinput>
[grimreaper] ~ $ opiepasswd -f -c [grimreaper] ~ $ opiepasswd -f -c
@ -829,27 +819,39 @@ ID unfurl OTP key is 499 to4268
MOS MALL GOAT ARM AVID COED MOS MALL GOAT ARM AVID COED
</screen> </screen>
<para>Nach der Aufforderung <prompt>Enter new secret pass phrase:</prompt> <para>Die Option <option>-c</option> startet den Konsolen-Modus,
oder <prompt>Enter secret password:</prompt> geben Sie bitte Ihr der davon ausgeht, dass der Befehl von einem sicherem Ort
Passwort ein. Dies ist nicht das Passwort, mit dem Sie sich ausgeführt wird. Dies kann beispielsweise der eigene Rechner
anmelden, sondern es wird genutzt, um das Einmalpasswort sein, oder über eine mit <acronym>SSH</acronym> gesicherte
zu generieren. Die Zeile, die mit <quote>ID</quote> anfängt, Verbindung zum eigenen Rechner.</para>
enthält Ihren Login-Namen, den Iterationszähler und den
Initialwert. Diese Werte müssen Sie sich nicht merken, da <para>Geben Sie das geheime Passwort ein, wenn Sie danach
das System sie zeigen wird, wenn Sie sich anmelden. In der letzten gefragt werden. Damit werden die Einmalpasswörter generiert.
Zeile steht das Einmalpasswort, das aus diesen Parametern Dieses Passwort sollte schwer zu erraten sein und sich
und Ihrem geheimen Passwort ermittelt wurde. Bei der nächsten ebenfalls vom Passwort des Bentuzerkontos unterscheiden. Es
Anmeldung müssen Sie dann dieses Einmalpasswort muss zwischen 10 und 127 Zeichen lang sein. Prägen Sie sich
benutzen.</para> dieses Passwort gut ein!</para>
<para>Die Zeile, die mit <quote>ID</quote> beginnt, enthält den
Login-Namen (<literal>unfrul</literal>), den voreingestellten
Iterationszähler (<literal>499</literal>) und den Initialwert
(<literal>to4268</literal>). Das System erinnert sich an
diese Parameter und wird sie bei einem Anmeldeversuch
anzeigen. Sie brauchen sich diese Dinge also nicht merken.
Die letzte Zeile enthält das generierte Einmalpasswort, das
aus den Parametern und dem geheimen Passwort ermittelt wurde.
Bei der nächsten Anmeldung muss dann diese Einmalpasswort
benutzt werden.</para>
</sect2> </sect2>
<sect2> <sect2>
<title>Einrichten über eine nicht gesicherte Verbindung</title> <title>Initialisierung über eine nicht gesicherte
Verbindung</title>
<para>Um Einmalpasswörter über eine nicht gesicherte Verbindung <para>Um Einmalpasswörter über eine nicht gesicherte Verbindung
einzurichten, oder das geheime Passwort zu ändern, müssen Sie zu initialisieren, oder das geheime Passwort zu ändern, müssen
über eine gesicherte Verbindung zu einer Stelle verfügen, an Sie über eine gesicherte Verbindung zu einer Stelle verfügen,
der Sie &man.opiekey.1; ausführen können. Dies kann etwa die an der Sie <command>opiekey</command> ausführen können. Dies kann etwa die
Eingabeaufforderung auf einer Maschine sein, der Sie Eingabeaufforderung auf einer Maschine sein, der Sie
vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben
(100 ist ein guter Wert) und einen Initialwert wählen, wobei (100 ist ein guter Wert) und einen Initialwert wählen, wobei