Passwortrichtlinien

Eine eigene Passwort-Richtlinie schützt das System vor der Nutzung schwacher Passwörter. Legen Sie Länge und Komplexität der genutzten Benutzerpasswörter fest und beachten Sie die nachfolgenden Empfehlungen:

Zum Definieren einer Passwort-Richtlinie bearbeiten Sie /etc/pam.d/passwd wie folgt:

doas ee /etc/pam.d/passwd

Entfernen Sie das „#“ zu Beginn der Zeile

password    requisite    pam_passwdqc.so        enforce=users

und fügen Sie je nach Anforderung Einträge für das Modul pam_passwdqc hinzu:

password    requisite    pam_passwdqc.so min=disabled,disabled,disabled,disabled,10 similar=deny retry=3 en-force=users

Hinter pam_passwdqc können fünf Werte gesetzt werden, da für dieses Modul fünf Pass-wortkategorien vordefiniert sind. Die Kategorien umfassen Anforderungen an die Komplexität des Passworts, wie beispielsweise die Kombination von Sonderzeichen, Klein- und Großbuchstaben und Zahlen. Jede Stelle hinter pam_passwdqc.s kann entweder mit „disabled“ deaktiviert oder mit einer Zahl für die geforderte Passwortlänge versehen werden und steht jeweils für eine der folgenden Passwortkategorien:

Das dargestellte Beispiel erlaubt also nur Passwörter, die aus vier Passwortkategorien und 10 Zeichen bestehen. Das „similiar“ definiert darüber hinaus, ob ein neues Passwort dem alten Passwort ähneln darf. „retry“ beschreibt wie oft pam_passwdqc nach einem neuen Passwort fragt, wenn dem Benutzer die Wahl eines neuen Passworts gemäß der Passwort-Richtlinie nicht gelingt.

Weiterführende Informationen zur Konfiguration der Passwort-Richtlinien finden Sie unter https://www.freebsd.org/cgi/man.cgi?query=pam_passwdqc