= Gute Passwörter =

Was genau zeichnet ein gutes Passwort aus? Weiss jemand Links dazu, die vielleicht auch fundiert begründen, was man warum nicht machen sollte? Reicht es zum Beispiel, an ein Lexikonwort eine Zahl anzuhängen, um die gängigen Attacken zu verwirren?


== Generatoren ==

Um sich das Denken zu sparen, kann man einen fertigen Passwort-Generator benutzen. Zwar beschleicht mich ein wenig der Verdacht, daß ein solches Programm genauso systematisch Fehler machen kann wie ein Mensch, wenn man nicht genau den Algorithmus prüft, aber da die meisten einfach schlichte Zufallszahlen benutzen, kommt's da wohl nicht so drauf an. Ein anderes Problem ist es jedoch, ein Passwort so zu generieren, daß ein menschlicher Benutzer es sich dann auch wirklich merken kann.

Ich habe (mindestens) drei interessante Debian-Pakete zum Thema gefunden: '''gpw''', '''apg''' und '''makepasswd'''. Dabei zeichnet sich gpw dadurch aus, daß es "aussprechliche" Passwörter generiert, also z.B. sowas:

  ncizersi
  lodgirym
  tefaline
  amputers
  ingshali
  nialeons

Diese Passwörter sind für Menschen etwas besser zu merken, so daß man eine Chance hat, daß der Mensch sie nicht direkt per Post-It an den Monitor pappt. Leider gibt es keine Beschreibung dazu, wie sicher diese Passwörter gegenüber gängigen crack-Versuchen nun wirklich sind. Außerdem könnte ich mir vorstellen, daß man trotzdem noch ab und an einen einzelnen Großbuchstaben und eine oder zwei Zahlen einfügen könnte.

'''makepasswd''' macht z.B. sowas:

  6Jhzd6
  yb9My54J
  m0W0hRwF
  rbJqUy
  LaeJg5B
  7JSPtDn

Diese Passwörter eignen sich aber nur für den Maschineneinsatz, also z.B. als Mailpasswort,das ich einmal in meinen Mailclient eingebe.


=== Passwort-Liste ===

Wer ein größeres System mit vielen Serverdiensten neu einrichtet, sollte möglichst an allen Stellen, wo Passwörter wirklich nötig sind, verschiedene verwenden. Mit dem folgenden Befehl habe ich mir für so einen Fall eine Liste von Passwörtern gedruckt. Ich habe dann jeweils rechts daneben geschrieben, wofür die sind und diese Liste dann im Tresor gut weggeschlossen.

  makepasswd --minchars 8 --maxchars 10 --count 65 | perl -pe 's/$/\t_____________________________________________/' | lpr -P Laserdrucker


== Public-Key Passwörter ==

Für Benutzeraccounts auf Servern bietet es sich an, die Passwörter in ''/etc/shadow'' komplett zu deaktivieren und nur noch mit Public Keys zu arbeiten. Hierzu mehr auf OpenSSH.