Next Previous Contents

11. Paßwortfunktionen

Um eine möglichst große Kompatibilität zu anderen Systemen zu gewährleisten, wird neben dem BayCom/TheNet-Paßwort-Verfahren auch das MD2/MD5-Paßwort-Verfahren unterstützt. Das alte DieBox-Paßwort-Verfahren wird sollte nicht mehr verwendet werden, wird vermutlich auch bei vielen Mailboxen nach den 31.12.1999 nicht mehr funktionieren.

11.1 Das BayCom-Paßwort-Verfahren

Das BayCom-Paßwort-Verfahren, das dem bei TheNet ähnelt, basiert darauf, daß beide Seiten (User und Mailbox/Digi) über einen identischen String fast beliebiger Länge (üblicherweise nicht mehr als 80 Zeichen) verfügen. Bei der Paßwort-Eingabe fragt die Mailbox bzw. der Digi nun nach fünf Zeichen aus diesem String. Der User sendet diese fünf Zeichen zurück. Falls die Zeichen korrekt waren, war auch die Paßwort-Eingabe erfolgreich. Damit eventuelle Mitleser nicht bei jeder Paßwort-Abfrage fünf Zeichen des Paßworts herausfinden können, kann das Paßwort in einem maximal 80 Zeichen langen Zufalls-String ``versteckt'' werden.

Je länger das Paßwort ist, desto sicherer ist es. Die Software sollte außerdem verhindern, daß bei einer Paßwortabfrage zweimal das gleiche Zeichen abgefragt wird, da sonst das Paßwort relativ einfach im Zufalls-String erkannt werden kann.

Sysop-Identifizierung mit dem BayCom-Paßwort-Verfahren

Um mit dem BayCom-Paßwort Sysop-Status zu erlangen, gibt man einfach nur

PW

ein. Die Box sendet dann eine Leerzeile gefolgt von einen String wie z.B.

DB0AAB> 23 67 19 47 2

zurück. Diese Zahlen entsprechen den Stellen im Paßwort-String, die der User zurücksenden muß (siehe oben). Das Sysop-BayCom-Paßwort wird in der ersten Zeile der Datei PASSWD.BCM eingestellt. Der Befehl ``SYS'' bewirkt das gleiche, es wird vor der Paßwort-Abfrage jedoch keine Leerzeile ausgegeben.

User-Login mit dem BayCom-Paßwort-Verfahren

Sofern der Sysop es mit dem Befehl ``USERPW 1'' erlaubt hat (es handelt sich dabei um eine Einstellung in INIT.BCM), kann sich jeder User selbst ein Paßwort setzen, das dann vor dem Login abgefragt wird. Das BayCom-Paßwort-Verfahren wird aktiviert durch die Eingabe von:

A(LTER) LO(GINPWTYPE) BAYCOM

Die Eingabe des Paßworts selbst erfolgt durch

A(LTER) PW <Paßwort-String>

Das Paßwort kann dabei in mehreren Schritten eingegeben werden, d.h. bei der wiederholten Eingabe dieses Befehls wird das Paßwort nicht jedesmal überschrieben, sondern der String wird jeweils an das aktuelle Paßwort angehängt. Die maximale Länge des User-Paßworts beträgt 39 Zeichen.

Sind nun diese beiden Einstellungen vorgenommen, so erhält man nach dem Connect der Mailbox nicht wie gewohnt den Connect-Text, sondern eine Paßwortabfrage wie z.B.:

DB0AAB> 9 19 27 12 38

Wie auch beim Sysop-Paßwort muß man dann mit den entsprechenden Zeichen aus dem Paßwort-String antworten, die wiederum in einem Zufallsstring versteckt sein dürfen. Sind die zurückgesendeten Zeichen falsch, so wird die Verbindung getrennt, ansonsten erfolgt der Login wie gewohnt.

Durch Eingabe von ``A(LTER) PW OFF'' oder auch ``A(LTER) PW'' ohne weitere Parameter wird das Paßwort gelöscht und die Paßwort-Abfrage vor dem Login deaktiviert. Möchte man die Paßwort-Abfrage nur vorübergehend abschalten, ohne das Paßwort selbst zu löschen, so ist das durch die Eingabe von

A(LTER) LO(GINPWTYPE) OFF

möglich. Das Login-Paßwort läß sich auch soweit abschalten, daß ein erneutes Einschalten nur noch durch den Sysop möglich ist. Dies geschieht durch die Eingabe von:

A(LTER) PW DISABLE

Bei älteren Terminal-Programmen ist es oft notwendig, daß das Programm selbst eine Zeile mit einem bestimmten Befehl schickt (z.B. ``pw''), damit die Paßwort-Abfrage automatisch beantwortet wird. Um auch zu solchen Programmen kompatibel zu sein, ist der Befehl ``ALTER PWLINE 1'' gedacht. Nach dessen Eingabe wartet die Mailbox vor dem nächsten Login auf eine Zeile mit beliebigem Inhalt, bevor die Paßwort-Abfrage gestartet wird. Diese Verhaltensweise läßt sich mit ``ALTER PWLINE 0'' wieder abstellen.

Store&Forward mit dem BayCom-Paßwort-Verfahren

Beim (User-)Store&Forward mit dem BayCom-Paßwort-Verfahren wird wie beim User-Paßwort der String verwendet, der mit ``ALTER PW'' eingestellt wurde. Ein User, der Paßwort-geschützten User-Store&Forward betreiben will, wird den Paßwort-String also wie beim Login-Paßwort einstellen. Beim Forward mit einer anderen (offiziellen) Mailbox jedoch wird der Sysop das mit dem Befehl

SETU(SER) <Rufzeichen der anderen Mailbox> PW <Paßwort-String>

tun. Das BayCom-Paßwort-Verfahren beim (User-)Store&Forward wird aktiviert mit

A(LTER) FW(DPWTYPE) BAYCOM (beim User-Store&Forward)

bzw.

SETU(SER) <Rufzeichen der anderen Mailbox> FW(DPWTYPE) BAYCOM (beim Forward mit einer anderen offiziellen Mailbox).

Alle anderen Einstellungen bzgl. des Paßworts können analog zum Login-Paßwort vorgenommen worden. D.h. das Löschen das Paßworts erfolgt mit ``ALTER PW OFF'' bzw. ``SETUSER <Rufzeichen der anderen Mailbox> PW OFF'' und eine vorübergehende Abschaltung des Paßworts ohne Löschung des Paßwort-Strings selbst erfolgt mit ``ALTER FWDPWTYPE OFF'' bzw. ``SETUSER <Rufzeichen der anderen Mailbox> FWDPWTYPE OFF''.

Ist das Paßwort nun auf beiden Seiten eingestellt (es muß natürlich der gleiche String und das gleiche Verfahren verwendet werden!), und connected eine Mailbox den Forward-Partner, so schickt die connectete Box nicht wie gewöhnlich nur das SID, sondern das SID gefolgt von einer Paßwort-Abfrage. Das sieht dann z.B. so aus:

[BayCom-1.40-AB1D1FHMR$] 7 23 49 87 34

Bei den Zahlen handelt es sich wie beim Sysop-/User-Paßwort um Stellen aus dem Paßwort-String. Die andere Mailbox antwortet z.B. mit

[DP-5.07-AB1D1FHMR$] j823t5cl453by9h091n9lq

also mit ihrem SID, gefolgt von einer Zeichenfolge, in der die abgefragten Zeichen des Paßwort-Strings versteckt sind. Ist die Antwort korrekt, so geht es mit dem Forwarding wie gewohnt weiter, ansonsten wird eine Fehlermeldung ausgegeben, und die Verbindung getrennt.

11.2 Das MD2/MD5-Paßwort-Verfahren

Beim MD2/MD5-Paßwort-Verfahren wird nicht das Paßwort selbst bzw. ein Teil des Paßworts übertragen, sondern eine Zahl, die aus einem Zufallsstring und dem Paßwort berechnet wird. Dieser Zufallsstring wird vom System, auf dem man sich identifizieren will (also z.B. der Mailbox) bestimmt. Nachdem dieser String dem anderen System mitgeteilt wurde, wird an ihn auf beiden Seiten das Paßwort ``angehängt''. Aus der auf diese Weise entstandenen Zeichenkette wird nach dem MD2/MD5-Algorithmus (dokumentiert in RFC 1319 und RFC 1321) eine Zahl berechnet. Diese Zahl ist 128 Bit groß und wird zu dem System, auf dem die Paßwort-Abfrage gestartet wurde als 32-stellige Hexadezimal-Zahl übertragen. Dort wird diese Zahl überprüft, und bei einer Übereinstimmung die Paßwort-Eingabe als erfolgreich betrachtet. Das MD2-Paßwort unterscheidet sich vom MD5-Paßwort nur dadurch, daß der Algorithmus zur Berechnung der 128 Bit-Zahl verschieden ist, das MD5-Paßwort ist dadurch minimal sicherer.

Zu beachten ist, daß der angesprochene Zufalls-String exakt 10 Zeichen lang sein muß, und nur aus Zahlen bestehen darf. Diese Einschränkung ist rein willkürlich und wurde durch die ersten Implementationen in verschiedenen Mailbox-Systemen festgelegt.

MD2 und MD5 sind übrigens ursprünglich keine Paßwort-Verfahren, sondern Algorithmen zur Berechnung von CRCs, um den Inhalt zweier Dateien auf Gleichheit zu überprüfen. Das Ziel beider Verfahren ist dabei eine maximale Änderung der berechneten Zahl bei einem minimalen Unterschied innerhalb der beiden Dateien.

Sysop-Identifizierung mit dem MD2/MD5-Paßwort-Verfahren

Um mit dem MD2/MD5-Paßwort Sysop-Status zu erlangen, gibt man einfach nur

MD2 (Beim MD2-Paßwortverfahren), bzw.

MD5 (Beim MD5-Paßwortverfahren)

ein. Die Box sendet dann eine Leerzeile gefolgt von einen String wie z.B.

DB0AAB> [1234567890]

zurück. Die Zahlen innerhalb der eckigen Klammern sind der Zufalls-String, der an das Paßwort angehängt wird. Daraus wird mit dem MD2- bzw. mit dem MD5-Algorithmus eine Zahl berechnet, die dann zur Mailbox geschickt wird (siehe oben). Das Sysop-MD2-Paßwort wird in der zweiten Zeile in der Datei PASSWD.BCM eingestellt, das MD5-Paßwort in der dritten.

User-Login mit dem MD2/MD5-Paßwort-Verfahren

Der Paßwort-String wird wie beim BayCom-Paßwort-Verfahren mit ``ALTER PW'' eingestellt. Die Aktivierung des MD2/MD5-Paßwort-Verfahrens beim User-Login erfolgt mit

A(LTER) LO(GINPWTYPE) MD2

bzw.

A(LTER) LO(GINPWTYPE) MD5

Die Paßwort-Abfrage und die Berechnung der Antwort erfolgt analog zur Sysop-Identifikation.

Store&Forward mit dem MD2/MD5-Paßwort-Verfahren

Der Paßwort-String wird wie beim BayCom-Paßwort-Verfahren mit ``ALTER PW'' eingestellt. Die Aktivierung des MD2/MD5-Paßwort-Verfahrens beim (User-)Store&Forward erfolgt mit

A(LTER) FW(DPWTYPE) MD2 bzw. MD5 (beim User-Store&Forward)

bzw.

SETU(SER) <Rufzeichen der anderen Mailbox> FW(DPWTYPE) MD2 bzw. MD5 (beim Forward mit einer anderen offiziellen Mailbox).

Die Paßwort-Abfrage beim Store&Forward erfolgt analog zum BayCom-Verfahren, die Zufalls-Zahlenfolge wird in eckigen Klammern hinter dem SID mit einem Leerzeichen getrennt übertragen.

11.3 Änderungen nach erfolgreicher Sysop-Identifizierung

Nach der erfolgreichen Sysop-Paßworteingabe stehen zusätzlich zu den User-Kommandos auch alle Sysop-Funktionen zur Verfügung. An den User-Kommandos ändert sich folgendes:

Bezüglich des Sysop-Status sind folgende Ding zu beachten:

11.4 Paßwort-geschützter Store&Forward zwischen verschiedenen Mailbox-Systemen

Wird zwischen verschiedenen Mailbox-Systemen geforwardet, so ist die Verwendung des MD5-Paßwort-Vefahrens sinnvoll.

11.5 Die Prinzipien der verschiedenen Paßwort-Verfahren

Da die Paßworteingabe von jedermann mitgelesen werden kann, erfolgt nicht, wie bei anderen Systemen (z.B. UNIX) üblich, die Eingabe einer ``geheimen'' Zeichenkette, sondern es werden entweder nur Teile des Paßworts abgefragt (BayCom-Verfahren), oder das Paßwort wird vor der Übertragung auf eine bestimmte Weise ``verschlüsselt'', wobei diese ``Verschlüsselung'' natürlich bei jeder Paßwort-Übertragung verschieden sein muß (MD2/MD5-Paßwort-Verfahren). Dabei wird der String, mit dem das Paßwort ``verschlüsselt'' werden soll, von der Mailbox bestimmt. Dieser String muß absolut zufällig sein, darf sich also keinesfalls innerhalb eines kurzen Zeitraums wiederholen und die Verschlüsselung darf sich auf keinen Fall umkehren lassen (sonst kann ja jeder das Paßwort berechnen).

Das Prinzip des MD2/MD5-Paßwort-Verfahren

Wie oben schon beschrieben wird hier dem Paßwort ein von der Mailbox erzeugter Zufalls-String vorangestellt und aus der entstandenen Zeichenkette eine 128 Bit-Zahl berechnet. Diese wird dann zur Mailbox übertragen, wo anschließend überprüft wird, ob auf beiden Seiten das gleiche Paßwort vorliegt.

Da bei dieser Verfahrensweise nie das Paßwort selbst oder ein Teil des Paßworts übertragen wird, kann ein Mitleser auch nie einen Teil des Paßworts herausfinden. Auch die 128 Bit-Zahl selbst kann ein ``Einbrecher'' unmöglich erraten. Die einzige theoretische Möglichkeit wäre, mit einer mitgelesenen Kombination aus Zufalls-String und zur Mailbox gesendeten Zahl alle Paßwort-Möglichkeiten durchzuprobieren, und so das Paßwort zu ``knacken''. Da es aber bereits bei einem fünf-stelligen Paßwort über eine Milliarde Kombinationsmöglichkeiten gibt, kann ein MD2/MD5-Paßwort durchaus als ``unknackbar'' angesehen werden.


Next Previous Contents