Date: Tue, 3 May 2016 18:27:26 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48775 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201605031827.u43IRQ7s037404@repo.freebsd.org>
index | next in thread | raw e-mail
Author: bhd Date: Tue May 3 18:27:25 2016 New Revision: 48775 URL: https://svnweb.freebsd.org/changeset/doc/48775 Log: Update to r44302: Editorial review of first 1/2 of OPIE chapter. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6189 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue May 3 17:32:07 2016 (r48774) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue May 3 18:27:25 2016 (r48775) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r43764 + basiert auf: r44302 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -732,32 +732,27 @@ cat changed <para>In der Voreinstellung unterstützt &os; <foreignphrase>One-time Passwords in Everything</foreignphrase> - (<acronym>OPIE</acronym>), das in der Voreinstellung - MD5-Hash-Funktionen einsetzt.</para> + (<acronym>OPIE</acronym>). <acronym>OPIE</acronym> wurde + konzipiert um Replay-Angriffe zu verhindern, bei dem ein + Angreifer das Passwort eines Benutzers ausspäht und es + benutzt, um Zugriff auf ein System zu erlangen. Da ein Passwort + unter <acronym>OPIE</acronym> nur einmal benutzt wird, ist ein + ausgespähtes Passwort für einen Angreifer nur von geringem + Nutzen. <acronym>OPIE</acronym> verwendet eine sichere + Hash-Funktion und ein Challenge/Response-System, um Passwörter + zu verwalten. Die &os;-Implementation verwendet in der + Voreinstellung die <acronym>MD5</acronym>-Hash-Funktion.</para> + + <para><acronym>OPIE</acronym> verwendet drei verschiedene Arten + von Passwörtern. Das erste ist das normale &unix;- oder + Kerberos-Passwort. Das zweite ist das Einmalpasswort, das von + <command>opiekey</command> generiert wird. Das dritte Passwort + ist das <quote>geheime Passwort</quote>, das zum Erstellen der + Einmalpasswörter verwendet wird. Das geheime Passwort steht in + keiner Beziehung zum &unix;-Passwort und beide Passwörter + sollten unterschiedlich sein.</para> - <para>Es gibt drei verschiedene Arten von Passwörtern. Das erste - ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist - das Einmalpasswort, das von <command>opiekey</command> generiert - und von <command>opiepasswd</command> und dem Anmeldeprompt - akzeptiert wird. Das dritte Passwort ist das - <quote>geheime Passwort</quote>, das mit - <command>opiekey</command> (manchmal auch mit - <command>opiepasswd</command>) zum Erstellen der - Einmalpasswörter verwendet wird.</para> - - <para>Das geheime Passwort steht in keiner Beziehung zum - &unix;-Passwort. Beide können gleich sein, obwohl das nicht - empfohlen wird. Die geheimen Passwörter von - <acronym>OPIE</acronym> sind nicht auf eine Länge von 8 Zeichen, - wie alte &unix; Passwörter<footnote> - <para>Unter &os; darf das System-Passwort maximal - 128 Zeichen lang sein.</para></footnote>, beschränkt. - Gebräuchlich sind Passwörter, die sich aus sechs bis sieben - Wörtern zusammensetzen. Das <acronym>OPIE</acronym>-System - arbeitet vollständig unabhängig von den auf &unix;-Systemen - verwendeten Passwort-Mechanismen.</para> - - <para>Neben dem Passwort gibt es noch zwei Werte, die für + <para>Es gibt noch zwei weitere Werte, die für <acronym>OPIE</acronym> wichtig sind. Der erste ist der <quote>Initialwert</quote> (engl. <foreignphrase>seed</foreignphrase> oder @@ -766,9 +761,9 @@ cat changed <quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100. <acronym>OPIE</acronym> generiert das Einmalpasswort, indem es den Initialwert und das geheime Passwort aneinander hängt - und dann die MD5-Hash-Funktion so oft, wie durch den - Iterationszähler gegeben, anwendet. Das Ergebnis wird in - sechs englische Wörter umgewandelt, die das Einmalpasswort + und dann die <acronym>MD5</acronym>-Hash-Funktion so oft, wie + durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird + in sechs englische Wörter umgewandelt, die das Einmalpasswort ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich das zuletzt benutzte Einmalpasswort und der Benutzer ist authentifiziert, wenn die Hash-Funktion des Passworts dem @@ -778,42 +773,37 @@ cat changed berechnen. Der Iterationszähler wird nach jeder erfolgreichen Anmeldung um eins verringert und stellt so die Synchronisation zwischen Benutzer und Login-Programm sicher. Wenn der - Iterationszähler den Wert 1 erreicht, muss + Iterationszähler den Wert <literal>1</literal> erreicht, muss <acronym>OPIE</acronym> neu initialisiert werden.</para> <para>Es gibt ein paar Programme, die in diesen Prozess einbezogen - werden. &man.opiekey.1; akzeptiert einen Iterationszähler, - einen Initialwert und ein geheimes Passwort. Daraus generiert - es ein Einmalpasswort oder eine Liste von Einmalpasswörtern. - &man.opiepasswd.1; wird benutzt, um Passwörter, Iterationszähler - oder Initialwerte zu ändern. Als Parameter verlangt es - entweder ein geheimes Passwort oder einen Iterationszähler - oder einen Initialwert und ein Einmalpasswort. + werden. Ein Einmalpasswort oder eine Liste von + Einmalpasswörtern, die von &man.opiekey.1; durch Angabe eines + Iterationszählers, eines Initalwertes und einem geheimen + Passwort generiert wird. &man.opiepasswd.1; wird benutzt, um + Passwörter, Iterationszähler oder Initialwerte zu ändern. &man.opieinfo.1; hingegen gibt den momentanen Iterationszähler und Initialwert eines Benutzers aus, den es aus <filename>/etc/opiekeys</filename> ermittelt.</para> <!-- Credential Dateien --> - <para>Es gibt vier verschiedene Arten von Tätigkeiten. Zuerst - wird erläutert, wie &man.opiepasswd.1; über eine gesicherte - Verbindung eingesetzt werden, um Einmalpasswörter das erste Mal - zu konfigurieren oder das Passwort oder den Initialwert zu - ändern. Als nächstes wird erklärt, wie &man.opiepasswd.1; über - eine nicht gesicherte Verbindung, oder zusammen mit - &man.opiekey.1; über eine gesicherte Verbindung eingesetzt - werden, um dasselbe zu erreichen. Als drittes wird beschrieben, - wie &man.opiekey.1; genutzt wird, um sich über eine nicht - gesicherte Verbindung anzumelden. Die vierte Tätigkeit - beschreibt, wie mit &man.opiekey.1; eine Reihe von Schlüsseln - generiert wird, die Sie sich aufschreiben oder ausdrucken - können, um sich von Orten anzumelden, die über keine gesicherten - Verbindungen verfügen.</para> + <para>Dieser Abschnitt beschreibt vier verschiedene Arten von + Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über + eine gesicherte Verbindung konfiguriert werden. Als nächstes + wird erklärt, wie <command>opiepasswd</command> über + eine nicht gesicherte Verbindung eingesetzt wird. Als drittes + wird beschrieben, wie man sich über eine nicht gesicherte + Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man + eine Reihe von Schlüsseln generiert, die man sich aufschreiben + oder ausdrucken kann, um sich von Orten anzumelden, die über + keine gesicherten Verbindungen verfügen.</para> <sect2> - <title>Einrichten über eine gesicherte Verbindung</title> + <title><acronym>OPIE</acronym> initialisieren</title> <para>Um <acronym>OPIE</acronym> erstmals zu initialisieren, - rufen Sie &man.opiepasswd.1; auf:</para> + rufen Sie &man.opiepasswd.1; über eine gesicherte Verbindung + auf:</para> <screen>&prompt.user; <userinput>opiepasswd -c</userinput> [grimreaper] ~ $ opiepasswd -f -c @@ -829,27 +819,39 @@ ID unfurl OTP key is 499 to4268 MOS MALL GOAT ARM AVID COED </screen> - <para>Nach der Aufforderung <prompt>Enter new secret pass phrase:</prompt> - oder <prompt>Enter secret password:</prompt> geben Sie bitte Ihr - Passwort ein. Dies ist nicht das Passwort, mit dem Sie sich - anmelden, sondern es wird genutzt, um das Einmalpasswort - zu generieren. Die Zeile, die mit <quote>ID</quote> anfängt, - enthält Ihren Login-Namen, den Iterationszähler und den - Initialwert. Diese Werte müssen Sie sich nicht merken, da - das System sie zeigen wird, wenn Sie sich anmelden. In der letzten - Zeile steht das Einmalpasswort, das aus diesen Parametern - und Ihrem geheimen Passwort ermittelt wurde. Bei der nächsten - Anmeldung müssen Sie dann dieses Einmalpasswort - benutzen.</para> + <para>Die Option <option>-c</option> startet den Konsolen-Modus, + der davon ausgeht, dass der Befehl von einem sicherem Ort + ausgeführt wird. Dies kann beispielsweise der eigene Rechner + sein, oder über eine mit <acronym>SSH</acronym> gesicherte + Verbindung zum eigenen Rechner.</para> + + <para>Geben Sie das geheime Passwort ein, wenn Sie danach + gefragt werden. Damit werden die Einmalpasswörter generiert. + Dieses Passwort sollte schwer zu erraten sein und sich + ebenfalls vom Passwort des Bentuzerkontos unterscheiden. Es + muss zwischen 10 und 127 Zeichen lang sein. Prägen Sie sich + dieses Passwort gut ein!</para> + + <para>Die Zeile, die mit <quote>ID</quote> beginnt, enthält den + Login-Namen (<literal>unfrul</literal>), den voreingestellten + Iterationszähler (<literal>499</literal>) und den Initialwert + (<literal>to4268</literal>). Das System erinnert sich an + diese Parameter und wird sie bei einem Anmeldeversuch + anzeigen. Sie brauchen sich diese Dinge also nicht merken. + Die letzte Zeile enthält das generierte Einmalpasswort, das + aus den Parametern und dem geheimen Passwort ermittelt wurde. + Bei der nächsten Anmeldung muss dann diese Einmalpasswort + benutzt werden.</para> </sect2> <sect2> - <title>Einrichten über eine nicht gesicherte Verbindung</title> + <title>Initialisierung über eine nicht gesicherte + Verbindung</title> <para>Um Einmalpasswörter über eine nicht gesicherte Verbindung - einzurichten, oder das geheime Passwort zu ändern, müssen Sie - über eine gesicherte Verbindung zu einer Stelle verfügen, an - der Sie &man.opiekey.1; ausführen können. Dies kann etwa die + zu initialisieren, oder das geheime Passwort zu ändern, müssen + Sie über eine gesicherte Verbindung zu einer Stelle verfügen, + an der Sie <command>opiekey</command> ausführen können. Dies kann etwa die Eingabeaufforderung auf einer Maschine sein, der Sie vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben (100 ist ein guter Wert) und einen Initialwert wählen, wobeihome | help
Want to link to this message? Use this
URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605031827.u43IRQ7s037404>