Benutzerpasswörter gegen Wörterbuchattacken schützen

Um sicherzustellen das ein Benutzerpasswort sich nicht so leicht zu erraten ist, kann man dieses unter Linux mit dem PAM-Modul pam_cracklib.so überprüfen. Es wird getestet wie leicht oder schwer das Passwort mit einer Wörterbuchattacke zu knacken ist. Dem User ist es nicht erlaubt ein neues Passwort zu setzen, wenn die Bedingungen nicht erfüllt sind (d.h. ein schwaches Passwort ist nicht erlaubt).

Zuerst muss das libpam-cracklib PAM-Modul installiert werden, um die Cracklib Unterstützung zu aktivieren.

# apt-get install libpam-cracklib

Nun die Konfigurationsdatei öffnen:

# vi /etc/pam.d/common-password

Folgende Zeile abändern oder einfügen:

password required         pam_cracklib.so retry=2 minlen=8 difok=6
password required         pam_unix.so use_authtok nullok md5

Nun die Datei abspeichern und schließen.

Hier eine kurze Beschreibung der verwandbaren Syntax:

• retry=2 : Prompt user at most 2 times before returning with error
• minlen=10 : minimum length allowed for an account password is set to 10 characters. This is the minimum simplicity count for a good password. And you are allowed only 2 times using retry option.
• difok=6: How many characters can be the same in the new password relative to the old. User will see error – BAD PASSWORD: is too similar to the old one
• You can also apply following options to compute the ‚unsimplicity‘ of the password.
  • dcredit=N : Digits characters
  • ucredit=N : Upper characters
  • lcredit=N : Lower characters
  • ocredit=N : Other characters

Die Einschränkungen betreffen nur normale Benutzer und nicht den Super-User root.