https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Shadow-PasswortShadow-Passwort - Versionsgeschichte2026-06-01T00:09:00ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Shadow-Passwort&diff=659589&oldid=previmported>SchlurcherBot: Bot: http → https2025-05-24T21:32:50Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>Unter dem Begriff '''Shadow-Password''' wird eine Methode zum Schutz von [[Passwort|Passwörtern]] verstanden, die in vielen [[Unix|Unix-]] und [[Unixoides System|Unix-ähnlichen]] Systemen verwendet wird. Das verschlüsselt gespeicherte Passwort wird dabei vor dem Zugriff durch unbefugte Benutzer geschützt, um das Brechen von zu schwachen Passwörtern durch [[Brute-Force]]- oder [[Wörterbuchangriff]]e zu verhindern.<br />
<br />
== Problemlage ==<br />
Vor der Einführung von Shadow-Passwörtern wurden alle relevanten Benutzerdaten, also auch der [[Hashwert]] des Passworts, in einer Datei gespeichert. Diese Datei (<span style="font-family:monospace;">/etc/passwd</span>) musste für alle Benutzer zugänglich (lesbar) sein, um auch Anwendungsprogrammen – beispielsweise zur Anzeige von [[Unix-Dateirechte|Dateirechten]] – das Auflösen von [[Benutzerkennung]]en zu [[Benutzername]]n zu ermöglichen, und konnte dadurch leicht für Angriffe auf das System genutzt werden.<br />
<br />
== Lösung in Unix-Systemen ==<br />
Die Lösung des genannten Problem besteht darin, die verschlüsselten Passwörter (Passwort-Hashes) nicht in der für alle Nutzer offenen Datei <span style="font-family:monospace;">/etc/passwd</span> zu speichern, sondern in einer davon unterschiedlichen Datei (<span style="font-family:monospace;">/etc/shadow</span>), die nur für den Root-User und hierfür vorgesehenen Systemprogramme lesbar ist.<ref>Harald Schröpfer: UNIX - Einführung in das Betriebssystem, Seite 329, ISBN 3-423-50157-X</ref><br />
<br />
Die einfach erscheinende Lösung, Passwort-Hash und Nutzerdaten durch zwei separate Dateien voneinander zu trennen, erfordert innerhalb des Betriebssystems eine wirksame Trennung von Nutzerrechten und Systemrechten, da ein Zugriff auf die Passwort-Hashes durch unprivilegierte Nutzer, zum Beispiel bei der Anmeldung am System, möglich bleiben muss. Dieser Zugriff erfolgt nun nicht durch den Benutzer direkt, sondern durch ein hierzu systemseitig berechtigtes Programm. <br />
<br />
Erstmals wurde ein solches System von den Unix-Derivaten [[System V]] 3.2<ref>http://groups.google.com/group/comp.unix.wizards/msg/c90ab8dc75918192</ref> und [[Berkeley Software Distribution|BSD]] 4.3 Reno verwendet.<ref>http://groups.google.com/group/comp.bugs.4bsd/msg/2ada37c991f02480</ref> Nutzer anderer Systeme blieben vorerst ausgeschlossen. Im Jahre 1987 entwickelte [[Julianne Frances Haugh]] die ''Shadow Password Suite'', die ursprünglich die Befehle <span style="font-family:monospace;">login</span>, <span style="font-family:monospace;">su</span> und <code>passwd</code> enthielt.<ref>http://groups.google.com/group/comp.sources.misc/msg/dcce54f8bd71c067</ref> Entwickelt wurde die ''Shadow Password Suite'' für [[Tarantella (Unternehmen)|SCO]] [[Xenix]]<ref>http://groups.google.com/group/alt.sources/msg/cd6b178f686ad221</ref>, aber bald auf andere Plattformen portiert, z.&nbsp;B. 1992 auf [[Linux]].<br />
<br />
Die Implementierung der Shadow-Passworte wurde zusätzlich genutzt, um – falls gewünscht – ergänzende Maßnahmen der Passwort-Sicherheit zu ermöglichen. So enthält die Datei <span style="font-family:monospace;">/etc/shadow</span> optionale Parameter für Mindest- und Maximalgültigkeitsdauern der Passwörter und Mindestnutzungsfrequenz des entsprechenden Benutzerkontos.<ref>Harald Schröpfer: UNIX - Einführung in das Betriebssystem, Seite 330, ISBN 3-423-50157-X</ref><br />
<br />
== Verbreitung ==<br />
Inzwischen sind Shadow-Passwörter als Standardverfahren im Unix- und Linuxbereich etabliert. Damit wurde die im ursprünglichen Konzept von Unix enthaltene Sicherheitslücke erfolgreich geschlossen und der unbefugte Zugriff auf die Password-Hashes der Benutzer wird wirksam verhindert. Die Möglichkeit für einen normalen Nutzer, diese mit Hilfe von Brute-Force und Wörterbuchangriffen zu missbrauchen, ist eingeschränkt, wenn auch nicht unmöglich. Verschiedene netzwerkbasierende Authentifizierungssysteme, wie zum Beispiel [[Network Information Service|Yellow Pages]] (YP) bzw. [[Network Information Service]] (NIS), übertragen die Passwort-Hashes über das Netzwerk und ermöglichen damit dem Angreifer einen unerlaubten Zugriff. Der Trend geht daher in die Richtung, stärkere [[Verschlüsselungsverfahren]] für die Passwörter zu verwenden.<br />
<br />
== Weblinks ==<br />
* [https://www.tldp.org/HOWTO/Shadow-Password-HOWTO.html Shadow Password HOWTO] (englisch)<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Unix-Betriebssystemkomponente]]<br />
[[Kategorie:Linux-Betriebssystemkomponente]]<br />
[[Kategorie:Kryptologie]]<br />
[[Kategorie:IT-Sicherheit]]</div>imported>SchlurcherBot