On Mit, Nov 01, 2000 at 08:17:07 +0100, Bernd Brodesser wrote:
* Erhard Schwenk schrieb am 31.Okt.2000:
Naja, gegen das Ausspähen durch andere hilft regelmäßiges Ändern zu einem gewissen Grad (hier alle 30 Tage und die Änderungen dürfen nicht den letzten 5 Passwörtern entsprechen oder zu ähnlich sein)
Wie willt Du die Ähnlichkeit überprüfen? Du kennst doch nur das gekryptete Paßwort, und die sehen sich nicht ähnlich, noch nicht mal wenn das Paßwort gleich ist, wg. unterschielichem salt.
Das salt steht aber im verschlüsselten PW drin (zumindest vor PAM, da weiss ich das nicht). Damit kannst Du die verschlüsselten Passwörter in einer Historie vorhalten und das neue PW mit den alten salts gegen diese prüfen. Diese Restriktion hast Du z. B. in W*00. BTW: Über den Sinn einer 30-Tage-Gültigkeit kann man sich streiten - je kürzer die Zeit, desto größer das Risiko, dass ein fantasieloser Mitarbeiter ein 0815-PW nimmt. Und auch zu häufige Nachfragen in der IT-Abteilung wegen vergessener PW sind ein Sicherheitsrisiko, weil sie die Aufmerksamkeit des IT-Personals einschläfern (Persönliche Meinung!) [...] Was die restlichen Punkte angeht: Ich halte es für *Überschreitung der Notwehr* ;-), undifferenziert solche radikalen Massnahmen durchziehen zu wollen. Ein Sachbearbeiter in einer Auftragserfassung oder ein HiWi in einem CallCenter hat in seinem Account keinerlei Geheimnisse im Zugriff, die so hohe Sicherheitsanforderungen rechtfertigen. Wenn doch, dann sollte die IT-Abteilung gefeuert werden. Viele der hier gekommenen Vorschläge lassen sich IMHO auch nicht mit dem Arbeitsrecht vereinbaren. Sicherheit in einem Unternehmen sollte nie _ausschliesslich_ auf Repressalien den Mitarbeitern gegenüber beruhen. Dann hat man nämlich bald keine guten mehr! IT-Sicherheit besteht immer aus einem _gesunden und ausgewogenen_ Maß an Vorschriften und Kontrollen, viel guter Personalarbeit (Resource Management in denglisch) und flankierenden Maßnahmen (Zutritts- beschränkungen in sensiblen Bereichen z. B. - abgeschlossene Lohn-Büros und Rechenzentren, aufmerksame - weil motivierte - Mitarbeiter, Passwortschutz in Bildschirmschonern, vernünftige Konfiguration der Rechner und des Netzwerks, ...) Jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com