Mehr Sicherheit im Rechenzentrum

Passwortverwaltung mit Kerberos

Seit dem 11. Februar 2002 ist das Passwortverwaltungssystems "Kerberos" im Rechenzentrum eingeführt worden. Nach erfolgreicher Umstellung des HP-Pools  (UNIX) am 7.1.02, von der hauptsächlich Studenten betroffen waren, sind am 11.02.02 anton (inzwischen durch "mail" abgelöst) und die Computeserver para1, para2 und sdome (inzwischen ebenfalls durch neue Parallelrechner abgelöst) umgestellt worden.
In der letzten Stufe wurden die Windows Windows-Pools in das Kerberos-System integriert, d.h. für die Arbeit im Windows Windows-Pools wird nun auch das Kerberos-Password benötigt.

Welches Passwort gilt wo?

Seit der Umstellung gilt auf mail (Mailserver!), auf den Parallelrechnern und allen Rechnern des Linux-Pools und des Windows-Pools das gleiche Passwort!

Warum muss ich mein Passwort ändern?

Passworte 'nutzen' sich im Laufe der Zeit ab. Jedesmal, wenn Sie Ihr Passwort benutzen, gibt es eine gewisse Wahrscheinlichkeit dafür, dass es ungewollt in falsche Hände gerät. Das kann z. B. geschehen, weil Ihnen jemand auf die Finger schaut. Oder dadurch, dass Ihr Passwort von Ihrem Mailprogramm auf einem  Rechner gespeichert wurde, den Sie inzwischen an jemand anderes abgegeben haben. Oder auf Ihrem Rechner hat ein Virus Ihre Tastatureingaben ausgespäht. Oder Sie haben Ihr Passwort versehentlich an der falschen Stelle eingegeben und es taucht dadurch in einer Protokolldatei oder gar in einer Mail auf. Oder jemand hat den Verbindungsaufbau zum Mailserver abgehört. Im Laufe der Zeit summieren sich diese vielen verschiedenen Möglichkeiten und irgendwann ist es nahezu sicher, dass andere Ihr Passwort kennen.

Wie ändere ich mein Passwort?

Die WWW-Schnittstelle unseres Passwortänderungsdienstes finden Sie unter folgendem URL. Das "s" in https: ist kein Tippfehler, sondern steht für eine sichere Verbindung zum WWW-Server.

Über die WWW-Schnittstelle können Sie

  • Ihr momentanes Passwort in ein neues ändern,
  • eine Mobilfunknummer hinterlegen, um vorzusorgen, falls Sie Ihr Passwort einmal vergessen sollten,
  • sich ein neues Initial-Passwort an die hinterlegte Mobilfunknummer schicken lassen, falls Sie Ihr momentanes Passwort vergessen haben. Das Initial-Passwort müssen Sie anschließend noch in ein neues, reguläres Passwort ändern.
Alternativ können Sie zum Ändern des Passwortes auch wie bisher in der UNIX-Kommandozeile den Befehl passwd verwenden.

Was passiert, wenn ich mein Passwort nicht fristgerecht ändere?

Sie können nach Ablauf der Änderungsfrist keine Mails per POP oder IMAP mehr abrufen oder Dateien per ftp in den Homebereich oder zum WWW-Server transferieren. Selbstverständlich können Sie Ihr Passwort auch nach Ablauf der Frist noch ändern. Dazu können Sie sich entweder per ssh oder telnet (telnet ist nicht empfehlenswert, weil die Übertragung nicht verschlüsselt erfolgt) einloggen, wobei dann automatisch ein Änderungsdialog durchgeführt wird. Oder Sie können die WWW-Schnittstelle zum Ändern aufrufen. Nach der Änderung können Sie POP, IMAP oder ftp sofort wieder verwenden.

Welche Anforderungen werden an mein Passwort gestellt?

Bei Nutzung der WWW-Schnittstelle https://ps.tuhh.de/cgi-bin/passwd/ werden an Passwörter folgende Anforderungen gestellt:

  • Das Passwort darf Ihre Benutzerkennung und Bestandteile Ihres Namens nicht enthalten.
  • Es muss mindestens 10 Zeichen lang sein, höchstens 20.
  • Es muss Zeichen aus mindestens 3 der folgenden Zeichenklassen enthalten:
      - Großbuchstaben: A-Z
      - Kleinbuchstaben: a-z
      - Ziffern: 0-9
      - diese Sonderzeichen: !#$%()*+,-./:;<=>?@[]_{}

Warum müssen die Passworte so lang sein?

Computer werden immer leistungsfähiger, dadurch steigt auch die Geschwindigkeit, mit der Passworte geraten werden können. Zwar ist es mit Kerberos nicht mehr so einfach wie bei dem vorherigen System in den Besitz der Passwortinformationen des gesamten RZ zu kommen, um dann zuhause oder an einem oder mehreren anderen Rechner zu versuchen, diese zu raten. Trotzdem ist es auch bei Kerberos für jemanden, der in den Besitz bestimmter Kerberos- interner Informationen gelangt, möglich, das Passwort zu raten. Da dies umso schwieriger wird, aus je mehr Zeichen das Passwort besteht, haben wir uns für eine Mindestlänge von 10 Zeichen entschieden.

Wie soll ich mir solch ein langes Passwort merken?

Bei 10 Zeichen können Sie recht gut kleinere Sätze bilden und die Worte durch Sonderzeichen oder Groß- und Kleinschreibung trennen. Außerdem spricht auch nichts dagegen, Passworte aufzuschreiben, sofern Sie den Zettel gut vor dem Zugriff anderer schützt. Dies ist am einfachsten zu erreichen, wenn Sie den Zettel in Ihrer Geldbörse aufbewahrt. Nicht geeignet dagegen sind so "sichere" Verstecke wie Schreibtischschublade, Tastatur oder Monitor.

Was bewirkt die Umstellung?

Statt an den bisherigen unsicheren NIS-Server werden  die Rechner an den vorhandenen Kerberos -Server angeschlossen. Die meisten Benutzer merken davon zunächst nichts, da ihre bisherigen NIS-Passworte für eine kurze Übergangszeit als Anfangspassworte des Kerberos-Servers übernommen werden.

Wo bekomme ich Hilfe?

Mit weiteren Fragen wenden Sie sich bitte an den DV-Beauftragten Ihres Arbeitsbereiches oder an das User Service Center , E-Mail: USC@tu-harburg.de

Weitere Information