Bernhard Schwartz <[EMAIL PROTECTED]> writes: > ich habe einen Server, auf dem ich nachts als Cronjob John the Ripper laufen > lasse, um User mit schlechten Passwörtern zu finden. Wie kann ich dafür > sorgen, dass solche User z.B. beim nächsten einloggen per ssh dazu gezwungen > werden ihr Passwort zu ändern?
Und was hast Du davon? Wird damit die Sicherheit signifikant steigen? IMHO könntst Du die Benutzer informieren, daß sie ein "schwaches" Passwort haben, aber einen Zwang dies zu ändern würde ich daraus nicht ableiten. Letztlich ist es doch das Problem des Users wenn jemand sein Passwort erraten kann und eine "gehackte" User-ID sollte kein Risiko für die Systmintegrität darstellen. Ein Zwang zu einem Passwort welches irgendwelchen supertollen Regeln entspricht führt nach meiner Erfahrung nur dazu, daß dieses tolle Passwort dann irgendwo aufgeschrieben wird (meist eine Post-It am Bildschirm) weil man es sich sonst ja nicht merken kann. Wird dann dem User z.B. auch noch diktiert daß er alle 4 Wochen ein neues Passwort zu vergeben hat, dann hast Du sehr schnell Passwörter wie "!pass1005" und im November dann "!pass1105" usw. Und so etwas ist dann genau wieder kein Zuwachs an Sicherheit sondern eher das Gegen- teil. Also: Nicht zwingen sondern versuchen durch Aufklären zu überzeugen. Evtl. auch einen Zufalls-Passwort-Generator anbieten mit dem sich Leute denen es an Kreativität mangelt dann ein Passwort genereieren können. Just my 2 cents Rainer -- Rainer König, Diplom-Informatiker (FH), Augsburg, Germany
