+.\" Copyright 1989 - 1994, Julianne Frances Haugh
+.\" All rights reserved.
.\"
-.\" Copyright 1993 Sebastian Hetze und der/die in der Sektion
-.\" AUTOR genannten Autor/Autoren
+.\" Redistribution and use in source and binary forms, with or without
+.\" modification, are permitted provided that the following conditions
+.\" are met:
+.\" 1. Redistributions of source code must retain the above copyright
+.\" notice, this list of conditions and the following disclaimer.
+.\" 2. Redistributions in binary form must reproduce the above copyright
+.\" notice, this list of conditions and the following disclaimer in the
+.\" documentation and/or other materials provided with the distribution.
+.\" 3. Neither the name of Julianne F. Haugh nor the names of its contributors
+.\" may be used to endorse or promote products derived from this software
+.\" without specific prior written permission.
.\"
-.\" Dieser Text steht unter der GNU General Public License.
-.\" Er darf kopiert und verändert, korrigiert und verbessert werden.
-.\" Die Copyright und Lizenzbestimmung müssen allerdings erhalten
-.\" bleiben. Die Hinweise auf das LunetIX Linuxhandbuch, aus dem
-.\" dieser Text stammt, dürfen nicht entfernt werden.
+.\" THIS SOFTWARE IS PROVIDED BY JULIE HAUGH AND CONTRIBUTORS ``AS IS'' AND
+.\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
+.\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
+.\" ARE DISCLAIMED. IN NO EVENT SHALL JULIE HAUGH OR CONTRIBUTORS BE LIABLE
+.\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
+.\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
+.\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
+.\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
+.\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
+.\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
+.\" SUCH DAMAGE.
.\"
-.TH PASSWD 1 "1. Juli 1993" "LunetIX Linuxhandbuch" "Dienstprogramme für Benutzer"
-.SH BEZEICHNUNG
-passwd \- ändert das Paßwort zum System
-.SH SYNTAX
-.B passwd
-.RI [ Username ]
+.\" $Id: passwd.1,v 1.5 2000/08/26 18:27:17 marekm Exp $
+.\"
+.\" Translation 2001/05/17 Michael Piefel <piefel@informatik.hu-berlin.de>
+.TH PASSWD 1
+.SH NAME
+passwd \- Das Nutzerpasswort ändern
+.SH "ÜBERSICHT"
+\fBpasswd\fR [\fB-f\fR|\fB-s\fR] [\fIname\fR]
+.br
+\fBpasswd\fR [\fB-g\fR] [\fB-r\fR|\fBR\fR] \fIgruppe\fR
+.br
+\fBpasswd\fR [\fB-x\fR \fImax\fR] [\fB-n\fR \fImin\fR]
+[\fB-w\fR \fIwarn\fR] [\fB-i\fR \fIinakt\fR] \fIname\fR
+.br
+\fBpasswd\fR {\fB-l\fR|\fB-u\fR|\fB-d\fR|\fB-S\fR|\fB-e\fR} \fIname\fR
.SH BESCHREIBUNG
-Die Paßwörter aller Benutzer werden in der Datei /etc/passwd gespeichert.
-Diese Datei ist lesbar aber schreibgeschützt. Um dem Benutzer die
-Möglichkeit zu geben, sein eigenes Paßwort zu ändern, läuft
-.B passwd
-SUID
-.BR root ".
-Deshalb hat der Anwender zur Laufzeit des Programms Rootprivilegien und darf
-in die Datei schreiben.
-.PP
-Bei einigen Linuxinstallationen wird das Benutzerpaßwort in einer separaten
-Datei namens
-.B shadow
-gespeichert, um den normalen Benutzern den Lesezugriff auf diese Daten zu
-verwehren. Die Einzelheiten zu diesem Paßwortsystem sind in den englischen
-Manualpages beschrieben.
-.SH SIEHE AUCH
-.BR chsh (1),
-.BR newgrp (1)
-und das LunetIX Linuxhandbuch
+\fBpasswd\fR ändert Passwörter für Nutzer- und Gruppenzugänge.
+Ein normaler Nutzer kann nur das Passwort für seinen eigenen Account ändern, der
+Superuser dagegen für jeden beliebigen.
+Der Administrator einer Gruppe kann das Passwort für die Gruppe ändern.
+\fBpasswd\fR ändert auch Account-Informationen, so wie den vollen Namen des
+Nutzers, seine Login-Shell oder Passwort-Ablaufzeiten- und Intervalle.
+.SS Passwort-Änderungen
+Der Nutzer wird zuerst nach seinem alten Passwort gefragt, so es eins gibt.
+Dieses Passwort wird dann verschlüsselt und mit dem gespeicherten Passwort
+verglichen.
+Der Nutzer hat nur einen Versuch, das Passwort richtig einzugeben.
+Dem Superuser ist es erlaubt, diesen Schritt zu überspringen, so dass vergessene
+Passwörter geändert werden können.
+.PP
+Nachdem das Passwort eingegeben wurde, werden die Alterungsinformationen
+ausgewertet, um festzustellen, ob der Nutzer sein Passwort jetzt ändern darf.
+Wenn nicht, verweigert \fBpasswd\fR die Änderung und beendet sich.
+.PP
+Der Nutzer wird anschließend nach einem neuen Passwort gefragt.
+Dieses Passwort wird auf seine Komplexität hin getestet.
+Als Richtlinie gilt,
+dass Passwörter aus 6 bis 8 Zeichen bestehen sollten,
+und dabei je mindestens eins aus den folgenden Sätzen:
+.IP "" .5i
+Kleinbuchstaben
+.IP "" .5i
+Großbuchstaben
+.IP "" .5i
+Ziffern 0 bis 9
+.IP "" .5i
+Sonderzeichen
+.PP
+Dabei muss darauf geachtet werden, nicht die die systemweit voreingestellten
+Löschzeichen zu verwenden.
+\fBpasswd\fR weist nicht hinreichend komplexe Passwörter zurück.
+.PP
+Wird das Passwort akzeptiert,
+so fragt \fBpasswd\fR erneut nach und vergleicht den zweiten Eintrag
+mit dem ersten.
+Beide müssen übereinstimmen, damit die Änderung vorgenommen wird.
+.SS Gruppenpasswörter
+Wenn die Option \fB-g\fR benutzt wird, wird das Passwort für die angegebene
+Gruppe geändert.
+Der Nutzer muss der Superuser oder ein Gruppenadministrator der
+benannten Gruppe sein.
+Das aktuelle Gruppenpasswort wird nicht abgefragt.
+Die Option \fB-r\fR wird gemeinsam mit \fB-g\fR benutzt, um das aktuelle
+Passwort der benannten Gruppe zu entfernen.
+Dies erlaubt Gruppenzugriff für alle Mitglieder.
+Die Option \fB-R\fR wird gemeinsam mit \fB-g\fR benutzt, um die angegebene
+Gruppe für alle Nutzer zu beschränken.
+.SS Passwort-Ablaufinformationen
+Die Passwort-Alterungsinformationen können vom Superuser mit den Optionen
+\fB-x\fR, \fB-n\fR, \fB-w\fR und \fB-i\fR geändert werden.
+Die Option \fB-x\fR wird benutzt, um die maximale Gültigkeitsdauer eines
+Passworts in Tagen zu setzen.
+Nach \fImax\fR Tagen muss das Passwort geändert werden.
+Die Option \fB-n\fR wird benutzt, um die minimale Gültigkeitsdauer eines
+Passworts in Tagen zu setzen.
+Dem Nutzer ist es vor Ablauf von \fImin\fR Tagen nicht gestatter,
+das Passwort zu ändern.
+Die Option \fB-w\fR bestimmt, wieviele Tage vor Ablauf des Passworts der Nutzer
+eine Warnung erhält.
+Die Warnung erscheint \fIwarn\fR Tage vor Ablauf und teilt dem Nutzer mit, wie
+viele Tage ihm noch bis dahin verbleiben.
+Die Option \fB-i\fR wird benutzt, um einen Account zu sperren, nachdem das
+Passwort eine bestimmte Zahl Tage abgelaufen war.
+Nachdem ein Nutzer-Account \fIinact\fR Tage ein abgelaufenes Passwort gehabt
+hat, kann der Nutzer sich nicht mehr anmelden.
+.SS Account-Pflege
+Nutzer-Accounts können mit den Flags \fB-l\fR und
+\fB-u\fR gesperrt und entsperrt werden.
+Die Option \fB-l\fR sperrt einen Account, indem das Passwort in einen Wert
+geändert wird, der keinem möglichen verschlüsselten Wert entspricht.
+Die Option \fB-u\fR entsperrt den Account wieder, indem das Passwort auf den
+vorherigen Wert zurückgesetzt wird.
+.PP
+Wenn das Passwort eines Accounts unverzüglich auslaufen soll, kann die Option
+\fB-e\fR benutzt werden. Dies zwingt den Nutzer dazu, das Passwort beim nächsten
+Einloggen zu ändern.
+Es kann auch die Option \fB-d\fR benutzt werde, um das Passwort eines Nutzers zu
+löschen (es auf das leere Passwort zu setzen).
+Beim Umgang mit dieser Option ist Vorsicht geboten, da sie unter Umständen dazu
+führt, dass der Account überhaupt kein Passwort benötigt; das lässt das System
+offen für Eindringlinge.
+.PP
+Der Status eines Accounts wird mit der Option \fB-S\fR ausgegeben.
+Diese Statusinformation besteht aus 6 Teilen.
+Der erste Teil gibt an, ob ein Nutzer-Account gesperrt ist (L), kein Passwort
+(NP) oder ein nutzbares Passwort (P) hat.
+Der zweite Teil gibt das Datum der letzten Passwortänderung an.
+Die nächsten vier Teile sind das Minimalalter, Maximalalter, Warnungzeitraum und
+Inaktivierungszeitraum für das Passwort.
+.SS Hinweise für Nutzerpasswörter
+Die Sicherheit eines Passworts hängt von der Stärke des
+Verschlüsselungsalgorithmus und der Größe des Schlüsselraums ab.
+Die \fB\s-2UNIX\s+2\fR-System-Verschlüsselungsmethode beruht auf
+dem NBS-DES-Algorithmus und ist sehr sicher.
+Die Größe des Schlüsselraums hängt von der Zufälligkeit des ausgewählten
+Passworts ab.
+.PP
+Die Option \fB-s\fR veranlasst \fBpasswd\fR, \fBchsh\fR aufzurufen,
+um die Shell des Nutzers zu ändern.
+Genauso wird bei \fB-f\fR \fBchfn\fR aufgerufen, um das Gecos-Feld der
+Nutzerinformation zu ändern. Diese Optionen sind nur aus Kompatibilitätsgründen
+vorhanden, da die anderen Programme direkt aufgerufen werden.
+.PP
+Einschränkungen der Passwortsicherheit rühren meist von sorgloser Auswahl oder
+Handhabung der Passwörter her.
+Aus diesem Grund sollte ein Passwort gewählt werden, das nicht in einem
+Wörterbuch auftaucht und auch nicht niedergeschrieben werden muss.
+Das Passwort sollte auch kein Eigenname, das Kfz-Kennzeichen des Nutzers oder
+gar Geburtsdatum oder Anschrift sein.
+Diese können alle als Ausgangspunkt zum Erraten benutzt werden und gefährden
+damit die Systemsicherheit.
+.PP
+Das Passwort muss sich auch leicht merken lassen, so dass man es nicht auf ein
+Stück Papier schreiben muss.
+Dies kann erreicht werden, indem man zwei kurze Wörter zusammenfügt und sie mit
+einem Sonderzeichen oder einer Ziffer verbindet, zum Beispiel Pass%wort.
+.PP
+Andere Konstruktionsmethoden umfassen die Auswahl einer leicht merkbaren Phrase
+aus der Literatur und die Auswahl des ersten Buchstaben eines jeden Wortes.
+Ein Beispiel dafür ist:
+.IP "" .5i
+Leben Sie lange und in Frieden.
+.PP
+welches Folgendes ergibt:
+.IP "" .5i
+LSluiF.
+.PP
+Man kann sich ziemlich sicher sein, dass nur wenige Cracker das in ihren
+Wortlisten haben werden.
+Man sollte sich allersings eigene Methoden zur Konstruktion von Passwörtern
+aussuchen und sich nicht nur auf die hier angegebenen Methoden verlassen.
+.SS Bemerkungen zu Gruppenpasswörtern
+Gruppenpasswörtern sind ein inherentes Sicherheitsproblem, da es mehr als einer
+Person erlaubt ist, dass Passwort zu wissen.
+Gruppenpasswörter sind allerdings ein nützliches Werkzeug, um Kooperation
+verschiedener Nutzer zu ermöglichen.
+.SH FALLGRUBEN
+Möglicherweise werden nicht alle Optionen unterstützt.
+Passwort-Komplexitätsüberprüfung mag von Standort zu Standort unterschiedlich sein.
+Dem Nutzer wird nahegelegt, ein Passwort zu wählen, das so komplex, als ihm noch
+angenehm ist.
+Nutzern ist es eventuell nicht möglich, ihr Passwort zu ändern, wenn NIS
+angeschaltet ist und sie nicht am NIS-Server angemeldet sind.
+.SH DATEIEN
+/etc/passwd \- Nutzerinformation
+.br
+/etc/shadow \- verschlüsselte Nutzerpasswörter
+.SH "SIEHE AUCH"
+.\" .BR passwd (3),
+.\" .BR shadow (3),
+.BR group (5),
+.BR passwd (5),
+.BR shadow (5)
.SH AUTOR
-Peter Orbaek
-
+Julianne Frances Haugh (jfh@austin.ibm.com)
projects / infodrom / manpages-de / commitdiff