ISGroup Cybersicherheitsberatung

Shadow Password Files

Der Begriff “Shadow Password Files” (Schattenpasswort-Dateien) bezieht sich auf eine Systemdatei, in der Benutzerpasswörter in verschlüsselter Form gespeichert werden. Diese Methode der Passwortspeicherung wird eingesetzt, um die Systemsicherheit zu erhöhen und zu verhindern, dass Passwörter für böswillige Akteure, die versuchen, das System zu kompromittieren, leicht zugänglich sind.

Funktionsweise

In den meisten Unix- und Unix-artigen Systemen werden Benutzerpasswörter traditionell in der Datei /etc/passwd gespeichert. Diese Datei ist jedoch oft für alle Benutzer des Systems lesbar, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu mindern, wurde das Konzept der “Shadow Passwords” eingeführt.

Die Shadow-Datei, die üblicherweise /etc/shadow heißt, ist nur für Benutzer mit Administratorrechten (wie root) zugänglich. Diese Datei enthält die verschlüsselten Versionen der Benutzerpasswörter sowie weitere Informationen zur Passwortverwaltung, wie das Datum der letzten Änderung und Ablaufregeln.

Vorteile

  1. Erhöhte Sicherheit: Da die Shadow-Datei nur von Systemadministratoren gelesen werden kann, wird das Risiko erheblich reduziert, dass ein unbefugter Benutzer auf die verschlüsselten Passwörter zugreifen und versuchen kann, diese zu entschlüsseln.
  2. Zentralisierte Verwaltung: Die Shadow-Datei ermöglicht die zentrale Verwaltung von Benutzerpasswortinformationen, was die Anwendung einheitlicher Sicherheitsrichtlinien vereinfacht.
  3. Passwortkontrolle: Neben der Speicherung verschlüsselter Passwörter enthält die Shadow-Datei zusätzliche Informationen, die die Durchsetzung von Sicherheitsregeln ermöglichen, wie z. B. die regelmäßige Passwortänderung, die Kontosperrung nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche und andere Sicherheitsrichtlinien.

Struktur der Shadow-Datei

Eine typische /etc/shadow-Datei enthält Textzeilen, von denen jede einen Benutzer des Systems repräsentiert. Jede Zeile besteht aus mehreren Feldern, die durch Doppelpunkte (:) getrennt sind:

  • Benutzername: Der Name des Benutzers.
  • Verschlüsseltes Passwort: Das verschlüsselte Passwort des Benutzers.
  • Letzte Änderung: Das Datum der letzten Passwortänderung, ausgedrückt in Tagen seit der Epoche (1. Januar 1970).
  • Minimum: Die Mindestanzahl an Tagen zwischen Passwortänderungen.
  • Maximum: Die maximale Anzahl an Tagen, die ein Passwort verwendet werden kann, bevor es geändert werden muss.
  • Warnung: Die Anzahl der Tage vor Ablauf des Passworts, während derer der Benutzer eine Warnung erhält.
  • Inaktiv: Die Anzahl der Tage der Inaktivität nach Ablauf des Passworts, bevor das Konto deaktiviert wird.
  • Kontoablauf: Das Datum, an dem das Konto deaktiviert wird, ausgedrückt in Tagen seit der Epoche.

Fazit

“Shadow Password Files” sind eine entscheidende Komponente für die Sicherheit von Unix- und Unix-artigen Systemen. Durch diesen Ansatz sind Benutzerpasswörter besser gegen unbefugte Zugriffsversuche geschützt, während gleichzeitig eine zentralisierte und effektive Verwaltung von passwortbezogenen Sicherheitsrichtlinien gewährleistet wird.

In

Leave a Reply

Your email address will not be published. Required fields are marked *