Date: Tue, 3 May 2016 18:27:26 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48775 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201605031827.u43IRQ7s037404@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Tue May 3 18:27:25 2016 New Revision: 48775 URL: https://svnweb.freebsd.org/changeset/doc/48775 Log: Update to r44302: Editorial review of first 1/2 of OPIE chapter. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6189 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue May 3 17:32:07 2016 (r48774) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue May 3 18:27:25 2016 (r48775) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r43764 + basiert auf: r44302 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -732,32 +732,27 @@ cat changed <para>In der Voreinstellung unterstützt &os; <foreignphrase>One-time Passwords in Everything</foreignphrase> - (<acronym>OPIE</acronym>), das in der Voreinstellung - MD5-Hash-Funktionen einsetzt.</para> + (<acronym>OPIE</acronym>). <acronym>OPIE</acronym> wurde + konzipiert um Replay-Angriffe zu verhindern, bei dem ein + Angreifer das Passwort eines Benutzers ausspäht und es + benutzt, um Zugriff auf ein System zu erlangen. Da ein Passwort + unter <acronym>OPIE</acronym> nur einmal benutzt wird, ist ein + ausgespähtes Passwort für einen Angreifer nur von geringem + Nutzen. <acronym>OPIE</acronym> verwendet eine sichere + Hash-Funktion und ein Challenge/Response-System, um Passwörter + zu verwalten. Die &os;-Implementation verwendet in der + Voreinstellung die <acronym>MD5</acronym>-Hash-Funktion.</para> + + <para><acronym>OPIE</acronym> verwendet drei verschiedene Arten + von Passwörtern. Das erste ist das normale &unix;- oder + Kerberos-Passwort. Das zweite ist das Einmalpasswort, das von + <command>opiekey</command> generiert wird. Das dritte Passwort + ist das <quote>geheime Passwort</quote>, das zum Erstellen der + Einmalpasswörter verwendet wird. Das geheime Passwort steht in + keiner Beziehung zum &unix;-Passwort und beide Passwörter + sollten unterschiedlich sein.</para> - <para>Es gibt drei verschiedene Arten von Passwörtern. Das erste - ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist - das Einmalpasswort, das von <command>opiekey</command> generiert - und von <command>opiepasswd</command> und dem Anmeldeprompt - akzeptiert wird. Das dritte Passwort ist das - <quote>geheime Passwort</quote>, das mit - <command>opiekey</command> (manchmal auch mit - <command>opiepasswd</command>) zum Erstellen der - Einmalpasswörter verwendet wird.</para> - - <para>Das geheime Passwort steht in keiner Beziehung zum - &unix;-Passwort. Beide können gleich sein, obwohl das nicht - empfohlen wird. Die geheimen Passwörter von - <acronym>OPIE</acronym> sind nicht auf eine Länge von 8 Zeichen, - wie alte &unix; Passwörter<footnote> - <para>Unter &os; darf das System-Passwort maximal - 128 Zeichen lang sein.</para></footnote>, beschränkt. - Gebräuchlich sind Passwörter, die sich aus sechs bis sieben - Wörtern zusammensetzen. Das <acronym>OPIE</acronym>-System - arbeitet vollständig unabhängig von den auf &unix;-Systemen - verwendeten Passwort-Mechanismen.</para> - - <para>Neben dem Passwort gibt es noch zwei Werte, die für + <para>Es gibt noch zwei weitere Werte, die für <acronym>OPIE</acronym> wichtig sind. Der erste ist der <quote>Initialwert</quote> (engl. <foreignphrase>seed</foreignphrase> oder @@ -766,9 +761,9 @@ cat changed <quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100. <acronym>OPIE</acronym> generiert das Einmalpasswort, indem es den Initialwert und das geheime Passwort aneinander hängt - und dann die MD5-Hash-Funktion so oft, wie durch den - Iterationszähler gegeben, anwendet. Das Ergebnis wird in - sechs englische Wörter umgewandelt, die das Einmalpasswort + und dann die <acronym>MD5</acronym>-Hash-Funktion so oft, wie + durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird + in sechs englische Wörter umgewandelt, die das Einmalpasswort ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich das zuletzt benutzte Einmalpasswort und der Benutzer ist authentifiziert, wenn die Hash-Funktion des Passworts dem @@ -778,42 +773,37 @@ cat changed berechnen. Der Iterationszähler wird nach jeder erfolgreichen Anmeldung um eins verringert und stellt so die Synchronisation zwischen Benutzer und Login-Programm sicher. Wenn der - Iterationszähler den Wert 1 erreicht, muss + Iterationszähler den Wert <literal>1</literal> erreicht, muss <acronym>OPIE</acronym> neu initialisiert werden.</para> <para>Es gibt ein paar Programme, die in diesen Prozess einbezogen - werden. &man.opiekey.1; akzeptiert einen Iterationszähler, - einen Initialwert und ein geheimes Passwort. Daraus generiert - es ein Einmalpasswort oder eine Liste von Einmalpasswörtern. - &man.opiepasswd.1; wird benutzt, um Passwörter, Iterationszähler - oder Initialwerte zu ändern. Als Parameter verlangt es - entweder ein geheimes Passwort oder einen Iterationszähler - oder einen Initialwert und ein Einmalpasswort. + werden. Ein Einmalpasswort oder eine Liste von + Einmalpasswörtern, die von &man.opiekey.1; durch Angabe eines + Iterationszählers, eines Initalwertes und einem geheimen + Passwort generiert wird. &man.opiepasswd.1; wird benutzt, um + Passwörter, Iterationszähler oder Initialwerte zu ändern. &man.opieinfo.1; hingegen gibt den momentanen Iterationszähler und Initialwert eines Benutzers aus, den es aus <filename>/etc/opiekeys</filename> ermittelt.</para> <!-- Credential Dateien --> - <para>Es gibt vier verschiedene Arten von Tätigkeiten. Zuerst - wird erläutert, wie &man.opiepasswd.1; über eine gesicherte - Verbindung eingesetzt werden, um Einmalpasswörter das erste Mal - zu konfigurieren oder das Passwort oder den Initialwert zu - ändern. Als nächstes wird erklärt, wie &man.opiepasswd.1; über - eine nicht gesicherte Verbindung, oder zusammen mit - &man.opiekey.1; über eine gesicherte Verbindung eingesetzt - werden, um dasselbe zu erreichen. Als drittes wird beschrieben, - wie &man.opiekey.1; genutzt wird, um sich über eine nicht - gesicherte Verbindung anzumelden. Die vierte Tätigkeit - beschreibt, wie mit &man.opiekey.1; eine Reihe von Schlüsseln - generiert wird, die Sie sich aufschreiben oder ausdrucken - können, um sich von Orten anzumelden, die über keine gesicherten - Verbindungen verfügen.</para> + <para>Dieser Abschnitt beschreibt vier verschiedene Arten von + Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über + eine gesicherte Verbindung konfiguriert werden. Als nächstes + wird erklärt, wie <command>opiepasswd</command> über + eine nicht gesicherte Verbindung eingesetzt wird. Als drittes + wird beschrieben, wie man sich über eine nicht gesicherte + Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man + eine Reihe von Schlüsseln generiert, die man sich aufschreiben + oder ausdrucken kann, um sich von Orten anzumelden, die über + keine gesicherten Verbindungen verfügen.</para> <sect2> - <title>Einrichten über eine gesicherte Verbindung</title> + <title><acronym>OPIE</acronym> initialisieren</title> <para>Um <acronym>OPIE</acronym> erstmals zu initialisieren, - rufen Sie &man.opiepasswd.1; auf:</para> + rufen Sie &man.opiepasswd.1; über eine gesicherte Verbindung + auf:</para> <screen>&prompt.user; <userinput>opiepasswd -c</userinput> [grimreaper] ~ $ opiepasswd -f -c @@ -829,27 +819,39 @@ ID unfurl OTP key is 499 to4268 MOS MALL GOAT ARM AVID COED </screen> - <para>Nach der Aufforderung <prompt>Enter new secret pass phrase:</prompt> - oder <prompt>Enter secret password:</prompt> geben Sie bitte Ihr - Passwort ein. Dies ist nicht das Passwort, mit dem Sie sich - anmelden, sondern es wird genutzt, um das Einmalpasswort - zu generieren. Die Zeile, die mit <quote>ID</quote> anfängt, - enthält Ihren Login-Namen, den Iterationszähler und den - Initialwert. Diese Werte müssen Sie sich nicht merken, da - das System sie zeigen wird, wenn Sie sich anmelden. In der letzten - Zeile steht das Einmalpasswort, das aus diesen Parametern - und Ihrem geheimen Passwort ermittelt wurde. Bei der nächsten - Anmeldung müssen Sie dann dieses Einmalpasswort - benutzen.</para> + <para>Die Option <option>-c</option> startet den Konsolen-Modus, + der davon ausgeht, dass der Befehl von einem sicherem Ort + ausgeführt wird. Dies kann beispielsweise der eigene Rechner + sein, oder über eine mit <acronym>SSH</acronym> gesicherte + Verbindung zum eigenen Rechner.</para> + + <para>Geben Sie das geheime Passwort ein, wenn Sie danach + gefragt werden. Damit werden die Einmalpasswörter generiert. + Dieses Passwort sollte schwer zu erraten sein und sich + ebenfalls vom Passwort des Bentuzerkontos unterscheiden. Es + muss zwischen 10 und 127 Zeichen lang sein. Prägen Sie sich + dieses Passwort gut ein!</para> + + <para>Die Zeile, die mit <quote>ID</quote> beginnt, enthält den + Login-Namen (<literal>unfrul</literal>), den voreingestellten + Iterationszähler (<literal>499</literal>) und den Initialwert + (<literal>to4268</literal>). Das System erinnert sich an + diese Parameter und wird sie bei einem Anmeldeversuch + anzeigen. Sie brauchen sich diese Dinge also nicht merken. + Die letzte Zeile enthält das generierte Einmalpasswort, das + aus den Parametern und dem geheimen Passwort ermittelt wurde. + Bei der nächsten Anmeldung muss dann diese Einmalpasswort + benutzt werden.</para> </sect2> <sect2> - <title>Einrichten über eine nicht gesicherte Verbindung</title> + <title>Initialisierung über eine nicht gesicherte + Verbindung</title> <para>Um Einmalpasswörter über eine nicht gesicherte Verbindung - einzurichten, oder das geheime Passwort zu ändern, müssen Sie - über eine gesicherte Verbindung zu einer Stelle verfügen, an - der Sie &man.opiekey.1; ausführen können. Dies kann etwa die + zu initialisieren, oder das geheime Passwort zu ändern, müssen + Sie über eine gesicherte Verbindung zu einer Stelle verfügen, + an der Sie <command>opiekey</command> ausführen können. Dies kann etwa die Eingabeaufforderung auf einer Maschine sein, der Sie vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben (100 ist ein guter Wert) und einen Initialwert wählen, wobei
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605031827.u43IRQ7s037404>