page 1  (7 pages)
2to next section

UNIX Password Security

Walter Belgers

[email protected]
6 december 1993

Inleiding

Dit document is bedoeld om systeembeheerders te wijzen op het belang van goede passwords. Slechte passwords zijn vaak een mogelijkheid voor hackers1 omeen systeembinnen te dringen. Er zijn steeds meer computersop het wereldwijde Internet aangesloten (de meest recente schattingen spreken over zo'n anderhalf miljoen systemen). Dat houdt in dat er steeds meer gebruikers en ook meer hackers komen. Door middel van een goede password-beveiliging kunnen beginnende hackers geweerd worden.

Er zijn vele soorten systemen, en per soort systeem vele beveiligingsaspecten. Ik beperk me hier tot password-beveiliging van UNIX systemen. De reden hiervoor is dat UNIX systemen populair zijn, in het bijzonder in een educatieve omgeving, waar men een verhoogde concentratie hackers kan verwachten. Dat is het gevolg van de openheid die in een onderzoeksomgeving gewaardeerd wordt. Dit in tegenstelling tot een commerci?ele omgeving, waar gegevens beschermd moeten worden tegen (onder andere) concurrenten. Er zijn vele manieren om een UNIX systeem te hacken, en voor het vinden van passwords van gebruikers zijn verschillende programma's in omloop die gebruikt kunnen worden door mensen die weinig kennis van UNIX hebben. Goede passwords kunnen dus beginnende hackers van een systeem weren. (`Gevorderde hackers' kunnen vaak een systeembinnen dringen zonder gebruikmaking van passwords. Dat wil zeggen dat de beveiliging van een systeem van meer dan alleen goede passwords afhangt).

Naast het belang van goede (dat wil zeggen niet door een willekeurig persoon te raden) passwords komt in dit artikel ookdewerkingvanpasswordsaande orde. Daarna volgt een praktijkvoorbeeld waaruit blijkt dat het met beveiliging af en toe slecht gesteld is. Tot slot volgen er enkele methodes om een goed password te kiezen.

Het belang van goede passwords

Het doel van een hacker is meestal het verkrijgen van de superuser-status (`root'). Dat gebeurt normaal door gebruik te maken van slecht ge??nstalleerde software, bugs in (systeem)software en menselijke fouten. Er zijn verschillende manieren om een computer te hacken zonder in te loggen, maar dat vereist enige kennis van zaken. Een (relatief) eenvoudige methode is inloggen als een reguliere gebruiker en dan het systeem afzoeken op bugs om zo de superuser-status te verkrijgen. Daarvoor zal de hacker dus eerst een geldige usercode/password combinatie moeten hebben.

Het is dus van belang dat alle(!) gebruikers op een systeem een password kiezen dat niet eenvoudig te raden is. De beveiliging van de gebruikers afzonderlijk heeft gevolgen voor de beveiliging

1`cracker' is een betere benaming, daar `hacker' van oudsher de benaming is voor iemand die veel uit zijn/haar computer haalt vanwege een grote kennis van de soft- dan wel hardware. Ik zal de term `hacker' blijven gebruiken omdat dit algemeen gangbaar is