Shadow-Passwort

Shadow-Passwort

Unter dem Begriff Shadow-Password wird eine Methode zum Schutz von Passwörtern verstanden, welche in vielen Unix-Systemen noch heute verwendet wird. Das Passwort wird dabei vor dem Zugriff durch unbefugte Benutzer geschützt, um somit das Brechen von zu schwachen Passwörtern durch Brute-Force- oder Wörterbuchangriffe zu verhindern.

Inhaltsverzeichnis

Problemlage

Vor der Einführung von Shadow-Passwörtern wurden alle relevanten Benutzerdaten, somit auch der Hashwert des Passworts, in einer Datei gespeichert. Diese Datei (/etc/passwd) musste für alle Benutzer zugänglich (lesbar) sein, um es auch Anwendungsprogrammen (beispielsweise zur Anzeige von Dateirechten) das Auflösen von IDs zu Benutzernamen zu ermöglichen, und konnte dadurch leicht für Angriffe auf das System genutzt werden.

Lösung in Unix-Systemen

Die auf den ersten Blick einfach erscheinende Lösung, Passwort-Hash und Nutzerdaten durch zwei separate Dateien voneinander zu trennen, erfordert jedoch innerhalb des Betriebssystems eine wirksame Trennung von Nutzerrechten und Systemrechten, da ein Zugriff auf die Passwort-Hashes durch unprivilegierte Nutzer, zum Beispiel bei der Anmeldung am System, natürlich möglich bleiben muss.

Erstmals wurde ein solches System von den Unix-Derivaten System V 3.2[1] und BSD 4.3 Reno verwendet.[2] Nutzer anderer Systeme blieben vorerst ausgeschlossen.

1987 entwickelte Julianne Frances Haugh die Shadow Password Suite, die ursprünglich die Befehle login, su und passwd enthielt.[3] Entwickelt wurde die Shadow Password Suite für SCO Xenix[4], aber bald auf andere Plattformen portiert, z.B. 1992 auf Linux.

Verbreitung

Inzwischen sind Shadow-Passwörter zum Standardverfahren im Unix- und Linuxbereich geworden. Damit konnte die im ursprünglichen Konzept von Unix enthaltene Sicherheitslücke erfolgreich geschlossen und der unbefugte Zugriff auf die Password-Hashes der Benutzer wirksam verhindert werden. Damit ist die Möglichkeit für einen normalen Nutzer, diese mit Hilfe von Brute-Force und Wörterbuchangriffen zu missbrauchen, eingeschränkt, wenn auch nicht unmöglich. Verschiedene netzwerkbasierende Authentifizierungsysteme wie zum Beispiel Yellow Pages (YP) bzw. Network Information Service (NIS) übertragen die Passwort-Hashes über das Netzwerk und ermöglichen somit dem Angreifer einen unerlaubten Zugriff. Unter anderem aus diesem Grund geht der Trend auch mehr in die Richtung, stärkere Verschlüsselungsverfahren, wie auch immer geartet, für die Passwörter zu verwenden.

Einzelnachweise

  1. http://groups.google.com/group/comp.unix.wizards/msg/c90ab8dc75918192
  2. http://groups.google.com/group/comp.bugs.4bsd/msg/2ada37c991f02480
  3. http://groups.google.com/group/comp.sources.misc/msg/dcce54f8bd71c067
  4. http://groups.google.com/group/alt.sources/msg/cd6b178f686ad221

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Shadow — (engl.: Schatten) steht für: The Shadow, ein US amerikanisches Hörspiel The Shadow (1937), US amerikanischer Film von Charles C. Coleman aus dem Jahr 1937 Shadow ist der Künstlername folgender Personen: DJ Shadow (bürgerlich: Josh Davis; * 1973) …   Deutsch Wikipedia

  • Irix — Bildschirmfoto IRIX 6.5 Desktop unter 4dwm Fenstermanager Basisdaten …   Deutsch Wikipedia

  • Name Service Switch — In unixartigen Betriebssystemen erlaubt der Name Service Switch (NSS) die Konfiguration verschiedener Datenquellen für das Auflösen von Konfigurationsdaten (u.a. Hosts, Benutzer und Gruppen). Es ist möglich die lokalen Konfigurationsdateien (zum… …   Deutsch Wikipedia

  • IRIX — Bildschirmfoto IRIX 6.5 Desktop unter 4dwm Fenstermanager Basisdaten …   Deutsch Wikipedia

  • Slackware — Bildschirmfoto …   Deutsch Wikipedia

  • Ninja Gaiden — Das offizielle Logo von Ninja Gaiden Ninja Gaiden (2004) …   Deutsch Wikipedia

  • Crack (Programm) — Crack ist ein Programm, das zum Erraten von Passwörtern auf UNIX und UNIX ähnlichen Systemen verwendet wird. Es wurde von Alec Muffett 1991 geschrieben und liegt heute in der Version 5.0 vor. Crack verwendet eine im Verzeichnis /etc enthaltene… …   Deutsch Wikipedia

  • BIOS — Flash ROM mit Award BIOS AMIBIOS Das BIOS (von englisch „basic input/output system“ …   Deutsch Wikipedia

  • Pluggable Authentication Module — Die Pluggable Authentication Modules (PAM) sind eine Softwarebibliothek, die eine allgemeine Programmierschnittstelle (API) für Authentisierungsdienste zur Verfügung stellt. PAM wurde 1995 von Vipin Samar und Charlie Lai bei Sun Microsystems… …   Deutsch Wikipedia

  • Pluggable Authentication Modules — Die Pluggable Authentication Modules (PAM) sind eine Softwarebibliothek, die eine allgemeine Programmierschnittstelle (API) für Authentisierungsdienste zur Verfügung stellt. PAM wurde 1995 von Vipin Samar und Charlie Lai bei Sun Microsystems… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”