Hallo zusammen, Heinz Diehl meinte am Samstag, den 16.01.2010 um 19:25 Uhr wegen:Passwortsicherheit
On 16.01.2010, Christian Meseberg wrote:
Allerdings ist das Rootverzeichnis nicht verschlüsselt, in dem ja die Passwörter liegen.
Stellt das ein erhöhtes Risiko dar, denn die Passphrase für Luks ist ja mit dem User-Passwort identisch?
Wenn das Passwort irgendwo auf / gespeichert ist, dann ist das in etwa so, wie wenn du einen Zettel damit an den Monitor klebst. Welche Zeichen beinhaltet das Passwort, und wie lang ist es? Grundsaetzlich gilt: wer 256 Bit veschluesselt, sollte auch ein entspr. Passwort haben. Wenn das nur 8 Zeichen hat, und aus Gross-, Kleinbuchstaben und Zahlen besteht, dann sagt mir das einfache Rechenstueck (q = Zeichenumfang, n = Passwortlaenge)
bit = n * log q / log 2
ok, ich meine natürlich die /etc/shadow in der m.E. die Passwörter abgelegt sind. Immerhin verschlüsselt, aber dennoch zugänglich. Ich habe da 2 User mit identischem Passwort (wegen pam-mount) und die sehen schon mal unterschiedlich aus. Meine Frage sollte deshalb eher lauten, ob die Passwörter aus der Datei /etc/shadow eben leichter rekonstruiert werden können, als dieses möglich wäre, wenn nur die mit Luks verschlüsselten Festplatten vorliegen. Ich meine jetzt nicht ob es dem NSA mögliche wäre, sondern eher dem sterblichen 'Normal-Dieb-UmDieEcke', das Passwort zu erraten? Durch einen Einbruch in unser Eigenheim hat sich leider eine gewisse Paranoia entwickelt ;)
dass ein solches Standard-Unix-Passwort mit knapp 47 Bit viel zu schwach ist. Oder umgekehrt dein Verschluesselungsaufwand ungerechtfertigt.
Die Verschlüsselung mit Luks macht ja keinen Aufwand. Die täglich mehrfache Eingabe eines Passwortes schon, zumal der Rest der Familie für diese Fragen kaum zugänglich ist ;) Das Passwort hat 10 Zeichen die aus Buchstaben und Zahlen bestehen und keinerlei Wortsinn ergeben. Hätte es länger sein müssen?
Kann ich dieses Raid nachträglich mit Luks verschlüsseln?
Ja. Wenn du damit keine Erfahrung hast, ist das alles andere als trivial, und ein komplettes Backup waere der erste Schritt.
habe eben noch einmal in die openSuSE Howto zur Verschlüsselung mit Luks geschaut und glaube damit zurecht zu kommen. Dieser Teil meiner Frage war eigentlich - sorry - überflüssig. Vielen Dank und schönes (eisfreies) Wochenende noch ;) -- Beste Grüße Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org