svn commit: r44443 - translations/nl_NL.ISO8859-1/books/handbook/security
Remko Lodder
remko at FreeBSD.org
Fri Apr 4 15:16:09 UTC 2014
Author: remko
Date: Fri Apr 4 15:16:08 2014
New Revision: 44443
URL: http://svnweb.freebsd.org/changeset/doc/44443
Log:
Update my today's work in progress.
Facilitated by: Snow B.V.
Modified:
translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml
Modified: translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Fri Apr 4 14:30:07 2014 (r44442)
+++ translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Fri Apr 4 15:16:08 2014 (r44443)
@@ -895,35 +895,36 @@
maken om toegang te krijgen tot alle machines waar de sleutels
van de gebruiker toegang toe geven.</para>
- <!-- XXX Remko 777 -->
-
- <para>Het advies is ssh in combinatie met Kerberos te gebruiken
- voor het aanmelden door medewerkers wanneer dat ook maar
- mogelijk is. <application>Ssh</application> kan gecompileerd
- worden met Kerberos-ondersteuning. Dit vermindert de kans op
- blootstelling van ssh-sleutels en beschermt tegelijkertijd
- de wachtwoorden met Kerberos. Ssh-sleutels zouden alleen
- gebruikt moeten worden voor geautomatiseerde taken vanaf
- veilige machines (iets waar Kerberos ongeschikt voor is). Het
- advies is om het doorsturen van sleutels uit te schakelen in de
- ssh-instellingen of om de <literal>from=IP/DOMAIN</literal>
- optie te gebruiken die ssh in staat stelt het bestand
- <filename>authorized_keys</filename> te gebruiken om de
- sleutel alleen bruikbaar te maken voor entiteiten die zich
- aanmelden vanaf vooraf aangewezen machines.</para>
+ <para>Het advies is &man.ssh.1; in combinatie met Kerberos te
+ gebruiken voor het aanmelden door medewerkers wanneer dat ook
+ maar mogelijk is, &man.ssh.1; kan gecompileerd worden met
+ Kerberos-ondersteuning. Dit vermindert de kans op
+ blootstelling van <acronym>SSH</acronym>-sleutels en beschermt
+ tegelijkertijd de wachtwoorden met Kerberos. Sleutels zouden
+ alleen gebruikt moeten worden voor geautomatiseerde taken vanaf
+ veilige machines, iets waar Kerberos niet geschikt voor is.
+ Het advies is om ofwel het doorsturen van sleutels uit te
+ schakelen in de <acronym>SSH</acronym>-instellingen ofwel om
+ de <literal>from=IP/DOMAIN</literal> optie welke ingesteld kan
+ worden in het bestand <filename>authorized_keys</filename>,
+ zodat de sleutels alleen bruikbaar zijn voor entiteiten die
+ zich aanmelden vanaf de specicifieke machines.</para>
</sect2>
</sect1>
<sect1 xml:id="crypt">
<info><title>DES, Blowfish, MD5, SHA256, SHA512 en crypt</title>
<authorgroup>
- <author><personname><firstname>Bill</firstname><surname>Swingle</surname></personname><contrib>Delen geschreven en herschreven door </contrib></author>
+ <author>
+ <personname>
+ <firstname>Bill</firstname>
+ <surname>Swingle</surname>
+ </personname>
+ <contrib>Delen geschreven en herschreven door </contrib>
+ </author>
</authorgroup>
-
</info>
-
-
<indexterm>
<primary>beveiliging</primary>
@@ -943,68 +944,55 @@
<indexterm><primary>SHA512</primary></indexterm>
<para>Iedere gebruiker op een &unix; systeem heeft een wachtwoord
- bij zijn account. Het lijkt voor de hand liggend dat deze
- wachtwoorden alleen bekend horen te zijn bij de gebruiker en het
- eigenlijke besturingssysteem. Om deze wachtwoorden geheim te
- houden, zijn ze gecodeerd in een <quote>eenweg hash</quote>
- (<quote>one-way hash</quote>), wat betekent dat ze eenvoudig
- gecodeerd kunnen worden maar niet gedecodeerd. Met andere
- woorden, wat net gesteld werd is helemaal niet waar: het
- besturingssysteem kent het <emphasis>echte</emphasis> wachtwoord
- niet. De enige manier om een wachtwoord in <quote>platte
- tekst</quote> te verkrijgen, is door er met brute kracht naar
+ bij zijn account. Om deze wachtwoorden geheim te houden, worden
+ ze gedoceerd met een <quote>eenweg hash</quote>, hiermee kunnen
+ ze eenvoudig gecodeerd worden maar niet gedecodeerd. Het
+ besturingssysteem zelf kent het wachtwoord zelf niet. Het is
+ alleen op de hoogte van het <emphasis>gecodeerde</emphasis>
+ wachtwoord. De enige manier om een wachtwoord in <quote>platte
+ tekst</quote> te verkrijgen is door er met brute kracht naar
te zoeken in alle mogelijke wachtwoorden.</para>
- <para>Helaas was DES, de Data Encryption Standard, de enige
- manier om wachtwoorden veilig te coderen toen &unix; ontstond.
- Dit was geen probleem voor gebruikers in de VS, maar omdat
- de broncode van DES niet geëxporteerd mocht worden moest
- &os; een manier vinden om zowel te gehoorzamen aan de wetten van
- de Verenigde Staten als aansluiting te houden bij alle andere varianten
- van &unix; die nog steeds DES gebruikten.</para>
-
- <para>De oplossing werd gevonden in het splitsen van de
- coderingsbibliotheken zodat gebruikers in de Verenigde Staten de
- DES-bibliotheken konden installeren en gebruiken en internationale
- gebruikers een coderingsmethode konden gebruiken die
- geëxporteerd mocht worden. Zo is het gekomen dat &os; MD5
- is gaan gebruiken als coderingsmethode. Van MD5 wordt aangenomen
- dat het veiliger is dan DES, dus de mogelijkheid om DES te
- installeren is vooral beschikbaar om aansluiting te kunnen
+ <para>Van oorsprong was de enige veilige methode om wachtwoorden
+ te coderen binnen &unix; gebaseerd op de Data Encryption Standard
+ (<acronym>DES</acronym>). Omdat de broncode van
+ <acronym>DES</acronym> niet geëxporteerd kon worden buiten de
+ VS, moest &os; een manier vinden om zowel te voldoen aan de
+ wetten van de VS maar ook compatibel te blijven met andere
+ &unix; varianten, welke <acronym>DES</acronym> gebruikten.
+ Het antwoord hierop was MD5, waarbij aangenomen werd dat deze
+ veiliger is dan <acronym>DES</acronym>.</para>
houden.</para>
<sect2>
<title>Het crypt-mechanisme herkennen</title>
- <para>Op dit moment ondersteunt de bibliotheek DES, MD5, Blowfish,
- SHA256 en SHA512 hashfuncties. Standaard gebruikt &os; 9.1 en
- nieuwer SHA512 om wachtwoorden te coderen. Oudere versies gebruiken
- standaard MD5.</para>
-
- <para>Het is vrij makkelijk om uit te vinden welke
- coderingsmethode &os; op een bepaald moment gebruikt. De
- gecodeerde wachtwoorden in
- <filename>/etc/master.passwd</filename> bekijken is een manier.
- Wachtwoorden die gecodeerd zijn met MD5 zijn langer dan wanneer
- ze gecodeerd zijn met DES-hash. Daarnaast beginnen ze met de
- karakters <literal>$1$</literal>. Wachtwoorden
- die beginnen met <literal>$2a$</literal> zijn
- gecodeerd met de Blowfish hashfunctie. DES-wachtwoordstrings
- hebben geen bijzondere kenmerken, maar ze zijn korter dan MD5
- wachtwoorden en gecodeerd in een 64-karakter alfabet waar geen
- <literal>$</literal> karakter in zit. Een relatief korte
- string die niet begint met een dollar teken is dus
- waarschijnlijk een DES-wachtwoord. Zowel SHA256 als SHA512 beginnen
- met de tekens <literal>$6$</literal>.</para>
-
+ <para>Op dit moment ondersteunt de bibliotheek
+ <acronym>DES</acronym>, MD5, Blowfish, SHA256 en SHA512
+ hashfuncties. Om te kunnen bepalen welke encryptie methode
+ &os; gebruikt moeten de gecodeerde wachtworden in
+ <filename>/etc/master.passwd</filename> bekeken worden.
+ Wachtwoorden versleuteld met de MD5 hash zijn langer dan
+ wanneer ze gecodeerd zijn met de <acronym>DES</acronym> hash
+ en begint met de karakters <literal>$1$</literal>.
+ Wachtwoorden die beginnen met de karakters
+ <literal>$2$</literal> zijn gecodeerd met de
+ Blowfish hashfunctie. <acronym>DES</acronym> wachtwoordstrings
+ hebben geen specifiek identificeerbare karakteristieken, maar
+ deze zijn korter dan MD5 wachtwoorden en zijn gedoceerd in een
+ 64-karakter alfabet waar het $ karakter geen onderdeel
+ van is, dus een relatief korte string welke niet begint met een
+ dollar teken is vrijwel zeker een <literal>DES</literal>
+ wachtwoord. Zowel SHA256 als SHA512 beginnen met de karakters
+ <literal>$6$</literal>.</para>
+
<para>Het wachtwoordformaat voor nieuwe wachtwoorden wordt
ingesteld met de <literal>passwd_format</literal>
aanmeldinstelling in <filename>/etc/login.conf</filename> waar
<literal>des</literal>, <literal>md5</literal>,
<literal>blf</literal>, <literal>sha256</literal> of
- <literal>sha512</literal> in mag staan. Zie de &man.login.conf.5;
- handleiding voor meer informatie over
- aanmeldinstellingen.</para>
+ <literal>sha512</literal> in mag staan. Zie &man.login.conf.5;
+ voor meer informatie over aanmeldinstellingen.</para>
</sect2>
</sect1>
@@ -1019,93 +1007,85 @@
<secondary>eenmalige wachtwoorden</secondary>
</indexterm>
- <para>Standaard biedt &os; ondersteuning voor OPIE (Eenmalige
- Wachtwoorden in Alles - <quote>One-time Passwords In
- Everything</quote>), wat standaard een MD5-hash gebruikt.</para>
-
- <para>Hier worden drie verschillende soorten wachtwoorden
- besproken. De eerste is het normale &unix; of Kerberos
- wachtwoord. Dit heet het <quote>&unix; wachtwoord</quote>. Het
- tweede type is een eenmalig wachtwoord dat wordt gemaakt met het
- OPIE-programma &man.opiekey.1; en dat wordt geaccepteerd door
- &man.opiepasswd.1; en de aanmeldprocedure. Dit heet het
- <quote>eenmalige wachtwoord</quote>. Het laatste type wachtwoord
- is het wachtwoord dat wordt opgegeven aan het programma
- <command>opiekey</command> (en soms aan het programma
- <command>opiepasswd</command>) dat gebruikt wordt om eenmalige
- wachtwoorden te maken. Dit type heet <quote>geheim
- wachtwoord</quote> of gewoon een <quote>wachtwoord</quote> zonder
- toevoeging.</para>
+ <para>Standaard biedt &os; ondersteuning voor Eenmalige
+ Wachtwoorden in Alles <quote>OPIE</quote> wat standaard een
+ MD5-hash gebruikt.</para>
+
+ <para>Er zijn drie verschillende soorten wachtwoorden. De eerste
+ is het &unix; of Kerberos wachtwoord. De tweede is het
+ eenmalige wachtwoord, welke gegeneerd wordt door &man.opiekey.1;
+ en geaccepteerd wordt door &man.opiepasswd.1; en de login prompt.
+ Het laatste type wachtwoord is het <quote>geheime wachtwoord</quote>
+ welke gebruikt wordt door &man.opiekey.1; en soms
+ &man.opiepasswd.1; om eenmalige wachtwoorden te genereren.</para>
<para>Het geheime wachtwoord heeft niets te maken met het &unix;
- wachtwoord; ze kunnen hetzelfde zijn, dat wordt afgeraden.
- OPIE geheime wachtwoorden kennen niet de beperking van 8
- karakters zoals de oude &unix; wachtwoorden.
+ wachtwoord. Ze kunnen hetzelfde zijn, dat wordt afgeraden.
+ <acronym>OPIE</acronym> geheime wachtwoorden kennen niet de
+ beperking van 8 karakters zoals de oude &unix; wachtwoorden.
<footnote>
<para>Bij &os; mag het wachtwoord voor aanmelden tot 128
karakters lang zijn.</para></footnote>
- Ze mogen onbeperkt lang zijn. Wachtwoorden van een zes of zeven
- woorden lange zin zijn niet ongewoon. Voor het overgrote deel
- werkt het OPIE-systeem volledig onafhankelijk van het &unix;
- wachtwoordsysteem.</para>
+ Wachtwoorden van een zes of zeven woorden lange zin zijn niet
+ ongewoon. Voor het overgrote deel werkt het
+ <acronym>OPIE</acronym>-systeem volledig onafhankelijk van het
+ &unix; wachtwoordsysteem.</para>
<para>Buiten het wachtwoord zijn er nog twee stukjes gegevens die
- van belang zijn voor OPIE. Het eerste wordt <quote>zaad</quote>
- (<quote>seed</quote>) of <quote>sleutel</quote>
+ van belang zijn voor <acronym>OPIE</acronym>. Het eerste wordt
+ <quote>zaad</quote> (<quote>seed</quote>) of <quote>sleutel</quote>
(<quote>key</quote>) genoemd en bestaat uit twee letters en vijf
cijfers. Het tweede stukje gegevens heet de
- <quote>iteratieteller</quote>, een nummer tussen 1 en 100. OPIE
- maakt een eenmalig wachtwoord door het zaad en het geheime
- wachtwoord aaneen te schakelen en daarop het door de
- iteratieteller aangegeven keren MD5-hash toe te passen. Daarna
- wordt het resultaat omgezet in zes korte Engelse woorden. Deze
- zes woorden zijn een eenmalige wachtwoord. Het
- autenticatiesysteem (hoofdzakelijk PAM) houdt bij welk
+ <quote>iteratieteller</quote>, een nummer tussen 1 en 100.
+ <acronym>OPIE</acronym> maakt een eenmalig wachtwoord door het
+ zaad en het geheime wachtwoord aaneen te schakelen en daarop het
+ door de iteratieteller aangegeven keren MD5-hash toe te passen.
+ Daarna wordt het resultaat omgezet in zes korte Engelse woorden.
+ Deze zes woorden zijn een eenmalige wachtwoord. Het
+ authenticatiesysteem (hoofdzakelijk PAM) houdt bij welk
eenmalig wachtwoord het laatst is gebruikt en de gebruiker wordt
- geautenticeerd als de hash van het door de gebruiker ingegeven
+ geauthenticeerd als de hash van het door de gebruiker ingegeven
wachtwoord gelijk is aan het vorige wachtwoord. Omdat er een
eenweg hash wordt gebruikt, is het onmogelijk om toekomstige
eenmalige wachtwoorden te maken als iemand toch een eenmalig
wachtwoord heeft afgevangen. De iteratieteller wordt verlaagd na
iedere succesvolle aanmelding om de gebruiker en het
aanmeldprogramma synchroon te houden. Als de iteratieteller op 1
- staat, moet OPIE opnieuw ingesteld worden.</para>
+ staat, moet <acronym>OPIE</acronym> opnieuw ingesteld worden.</para>
- <para>Er zijn enkele programma's bij ieder systeem betrokken die
- hieronder worden besproken. Het programma
- <command>opiekey</command> heeft een iteratieteller,
- zaad en een geheim wachtwoord nodig en maakt dan een eenmalig
- wachtwoord of een lijst van opeenvolgende eenmalige wachtwoorden.
- Het programma <command>opiepasswd</command> wordt gebruikt om OPIE
- te initialiseren en om wachtwoorden, iteratietellers en zaad te
- wijzigen. Het accepteert zowel wachtwoordzinnen als een
- iteratieteller, zaad en een eenmalig wachtwoord. Het programma
- <command>opieinfo</command> bekijkt de relevante bestanden waarin
- de eigenschappen staan (<filename>/etc/opiekeys</filename>) en
- toont de huidige iteratieteller en zaad van de gebruiker die het
+ <para>Er zijn enkele programma's betrokken bij dit proces.
+ &man.opiekey.1; accepteert een iteratieteller, een zaad en een
+ geheim wachtwoord, genereert een eenmalig wachtwoord, of een
+ lijst met eenmalige wachtwoorden. Naast het initialiseren van
+ <acronym>OPIE</acronym> wordt &man.opiekey.1; gebruikt om
+ wachtwoorden, iteratietellers en zaden te wijzigen. Deze
+ accepteert een geheime wachtwoordzin, een iteratieteller,
+ een zaad en een eenmalig wachtwoord. De relevante bestanden
+ met eigenschappen staan in <filename>/etc/opiekeys</filename>
+ en kunnen worden bekeken door &man.opieinfo.1;, en toont de
+ huidige iteratieteller en zaad, van de gebruiker die het
commando uitvoert.</para>
- <para>Nu worden vier verschillende acties besproken. Bij de eerste
- wordt <command>opiepasswd</command> gebruikt in een beveiligde
- verbinding om voor het eerst eenmalige wachtwoorden in te stellen
- of om een wachtwoord of zaad aan te passen. Bij de tweede wordt
- <command>opiepasswd</command> gebruikt over een onbeveiligde
- verbinding samen met <command>opiekey</command> over een
- beveiligde verbinding om hetzelfde te bereiken. In een derde
- scenario wordt <command>opiekey</command> gebruikt om aan te
- melden over een onveilige verbinding. Het vierde
- scenario behandelt het gebruik van <command>opiekey</command> om
- een aantal sleutels aan te maken die opgeschreven of afgedrukt
- kunnen worden, zodat ze meegenomen kunnen worden naar een plaats
- van waar geen enkele veilige verbinding opgezet kan worden.</para>
+ <para>Er zijn vier soorten acties. De eerste is het gebruik van
+ &man.opiepasswd.1; over een beveiligde verbinding om eenmalige
+ wachtwoorden voor de eerste keer in te stellen, of om een
+ wachtwoord of zaad te wijzigen. De tweede is het gebruik van
+ &man.opiepasswd.1; over een onveilige verbinding, in combinatie
+ met &man.opiekey.1; over een veilige verbinding om hetzelfde te
+ kunnen doen. De derde is het gebruik van &man.opiekey.1; om in
+ te loggen over een onveilige verbinding. En de vierde is het
+ gebruik van &man.opiekey.1; om een aantal sleutels te genereren
+ welke opgeschreven kunnen worden of uitgeprint om mee te nemen
+ naar onveilige locaties om zodoende overal een verbinding naar te
+ kunnen maken.</para>
<sect2>
<title>Veilige verbinding initialiseren</title>
- <para>Gebruik het commando <command>opiepasswd</command> om OPIE
- voor de eerste keer te initialiseren:</para>
+ <para>Om <acronym>OPIE</acronym> voor de eerste keer te
+ initialiseren moet &man.opiepasswd.1; worden uitgevoerd:</para>
<screen>&prompt.user; <userinput>opiepasswd -c</userinput>
[grimreaper] ~ $ opiepasswd -f -c
@@ -1123,16 +1103,16 @@ MOS MALL GOAT ARM AVID COED</screen>
<para>Als <prompt>Enter new secret pass phrase:</prompt> of
<prompt>Enter secret password:</prompt> op het scherm
verschijnt, dient een wachtwoord of wachtwoordzin ingevoerd te
- worden. Dit is dus niet het aanmeldwachtwoord is, maar dit
- wordt gebruikt om eenmalige wachtwoorden te maken. De
+ worden. Dit is niet het aanmeldwachtwoord, maar dit wachtwoord
+ wordt gebruikt om eenmalige wachtwoorden aan te maken. De
<quote>ID</quote> regel geeft de parameters van het verzoek
weer: de aanmeldnaam, de iteratieteller en zaad. Bij het
aanmelden kent het systeem deze parameters en worden deze
weergegeven zodat ze niet onthouden hoeven te worden. Op de
laatste regel staat het eenmalige wachtwoord dat overeenkomt met
- die parameters en het geheime wachtwoord. Als de gebruiker
- direct opnieuw zou aanmelden, zou hij dat eenmalige wachtwoord
- moeten gebruiken.</para>
+ die parameters en het geheime wachtwoord. Bij de volgende
+ keer aanmelden, is dit het eenmalige wachtwoord wat gebruikt
+ moet worden.</para>
</sect2>
<sect2>
@@ -1140,13 +1120,13 @@ MOS MALL GOAT ARM AVID COED</screen>
<para>Om een wachtwoord te initialiseren of te wijzigen over een
onveilige verbinding, moet er al ergens een veilige verbinding
- bestaan waar de gebruiker <command>opiekey</command> kan
- uitvoeren. Dit kan een shellprompt zijn op een machine die
- vertrouwd wordt. De gebruiker moet ook een iteratieteller
+ bestaan waar &man.opiekey.1; uitgevoerd kan worden. Dit kan
+ een shellprompt zijn op een machine die vertrouwd wordt. De
+ gebruiker moet ook een iteratieteller
verzinnen (100 is wellicht een prima getal) en een eigen zaad
bedenken of er een laten fabriceren. Over de onveilige
- verbinding (naar de machine die de gebruiker wil initialiseren)
- wordt het commando <command>opiepasswd</command> gebruikt:</para>
+ verbinding, moet op de machine die geinitialiseerd wordt
+ &man.opiepasswd.;1 gebruikt worden:</para>
<screen>&prompt.user; <userinput>opiepasswd</userinput>
@@ -1180,8 +1160,8 @@ GAME GAG WELT OUT DOWN CHAT</screen>
<sect2>
<title>Een enkel eenmalig wachtwoord maken</title>
- <para>Als OPIE eenmaal is ingesteld staat er bij het
- aanmelden iets als het volgende:</para>
+ <para>Als <acronym>OPIE</acronym> eenmaal is ingesteld staat er
+ bij het aanmelden iets als het volgende:</para>
<screen>&prompt.user; <userinput>telnet example.com</userinput>
Trying 10.0.0.1...
@@ -1194,12 +1174,11 @@ login: <userinput><gebruikersnaam>
otp-md5 498 gr4269 ext
Password: </screen>
- <para>NB: de OPIE-prompt heeft een handige optie (die hier niet te
- zien is): als er op <keycap>Return</keycap> wordt gedrukt bij de
- wachtwoordregel, wordt de echo aangezet, zodat de invoer
- zichtbaar is. Dit is erg handig als er met de hand een
- wachtwoord wordt ingegeven, zoals wanneer het wordt ingevoerd
- vanaf een afdruk.</para>
+ <para>De <acronym>OPIE</acronym> prompts hebben een handige optie.
+ Als er op <keycap>Return</keycap> wordt gedrukt bij de
+ wachtwoordregel, wordt echo aangezet en is de invoer zichtbaar.
+ Dit kan handig zijn als er wachtwoord ingegeven wordt die
+ overgetypt wordt vanaf een uitgeprinte lijst.</para>
<indexterm><primary>MS-DOS</primary></indexterm>
@@ -1209,12 +1188,11 @@ Password: </screen>
<para>Nu moet het eenmalige wachtwoord gemaakt worden om het
aanmeldprompt mee te antwoorden. Dit moet gedaan worden op een
- vertrouwd systeem waarop <command>opiekey</command> beschikbaar
- is. Er zijn ook versies voor &ms-dos;, &windows; en &macos;.
- Voor het commando moet zowel de iteratieteller als het zaad
- ingeven worden op de commandoregel. Deze kan zo overgenomen
- worden vanaf het aanmeldprompt op de machine waarop de gebruiker
- zich wil aanmelden.</para>
+ vertrouwd systeem waarop het veilig is om &man.opiekey.1; uit
+ te voeren. Er zijn ook versies voor &windows; en &macos; en
+ &os; Dit commando heeft de iteratieteller en het zaad nodig
+ als opties op de commandoregel. Gebruik knippen-en-plakken
+ vanaf de login prompt op de machine waarop aangemeld wordt.</para>
<para>Op het vertrouwde systeem:</para>
More information about the svn-doc-all
mailing list