Um die Vertraulichkeit von Passwörtern zu gewährleisten, sollen sie serverseitig nur verschlüsselt gespeichert und mit einem `salt` versehen werden. Dies wird mit Hilfe von `pam_unix` umgesetzt.
Zusätzliche Qualitätseigenschaften können mit `pam_cracklib` erzwungen werden.
sudo apt install libpam-cracklib
Danach wird `/etc/pam.d/common-password` entsprechend angepasst.
# file: /etc/pam.d/common-password
password requisite pam_cracklib.so
retry=3 minlen=8 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
enforce_for_root
password [success=1 default=ignore] pam_unix.so
obscure use_authtok try_first_pass sha512 remember=5
| Schalter | Bedeutung |
|---|---|
| `minlen=8` | Mindestlänge des Passworts |
| `ucredit=-1` | Mindestanzahl Großbuchstaben |
| `lcredit=-1` | Mindestanzahl Kleinbuchstaben |
| `dcredit=-1` | Mindestanzahl Zahlen |
| `ocredit=-1` | Mindestanzahl Sonderzeichen |
| `difok=3` | Mindestanzahl, in wie vielen Zeichen sich das neue vom vorherigen unterscheiden muss |
| `remember=5` | Passwort-History |
Lange und komplexe Passwörter verhindern den Erfolg von Brute-Force-Angriffen, aber die Deaktivierung der Passwortauthentifizierung ist stets eine noch besseren Lösung. Durch die schlüsselbasierte Authentifizierung wird dies in dieser Hinsicht sicherer.