Passwort und Passwortalterung

Das Passwort ist das wichtigste eingebaute Sicherheitsinstrument unter UNIX und darf daher auch nur dem Nutzer bekannt sein. Passwörter dürfen auch nicht einfach zu erraten sein. Vor- und Zuname, der Loginname, die Telefonnummer usw. sind als Passwort ungeeignet.

Gute Passwörter genügen z.B. diesen Bedingungen (Quelle: HP-UX System Administration Guide):

• Das Passwort sollte mindestens 6 Zeichen haben. Einbezogen sollen Sonderzeichen und/oder Zahlen werden.
 
• Das Passwort sollte in keinem Wörterbuch stehen, auch wenn es rückwärts gelesen wird. 
 
• Das Passwort sollte nicht mit dem User und z.B. dessen Namen, Hobby usw. assoziierbar sein. 
• Das Passwort sollte keine Tastatursequenz wie z.B. zxcvbnm sein.

Die Vorgaben des BSI (Bundesamtes für Sicherheit und Informationstechnik) gehen noch weit über diese Vorgaben hinaus.

Auch das beste Passwort kann beispielsweise durch Ausspähen offengelegt werden. Um dieses Risiko zu minimieren, sollten Passwörter von Zeit zu Zeit geändert werden. Die Passwortalterung (password aging) ist ein Mittel, an diese Passwort-Änderungen zu erinnern.

Durch den Systemverwalter ist die maximale und minimale Lebensdauer von Passwörtern festgelegt. Die Gültigkeit des Passworts wird bei jedem Login überprüft.

Das gilt für den Zugang über TELNET, XDM, FTP, RLOGIN, RSH, SSH und auch beim Lesen von E-Mails mit POP3, IMAP und IMAPS (IMAP über SSL). Bei einem "veralteteten Passwort"; sollte der Benutzer über seinen Mailreader die Fehlermeldung "account expired" erhalten. (Leider sind nicht alle E-Mail-Programme in der Lage, dies korrekt zu interpretieren. Statt dessen wird lediglich gemeldet, dass eine Verbindung mit dem Server nicht möglich sei.)