كيفية إجبار المستخدمين على تغيير كلمات المرور الخاصة بهم على نظام Linux
نشرت: 2022-01-29كلمات المرور هي حجر الأساس لأمان الحساب. سنوضح لك كيفية إعادة تعيين كلمات المرور وتعيين فترات انتهاء صلاحية كلمة المرور وفرض تغييرات كلمة المرور على شبكة Linux الخاصة بك.
كلمة المرور موجودة منذ ما يقرب من 60 عامًا
لقد أثبتنا لأجهزة الكمبيوتر أننا ما نقول نحن عليه منذ منتصف الستينيات ، عندما تم تقديم كلمة المرور لأول مرة. لكون الضرورة هي أم الاختراع ، فإن نظام مشاركة الوقت المتوافق الذي تم تطويره في معهد ماساتشوستس للتكنولوجيا يحتاج إلى طريقة لتحديد الأشخاص المختلفين على النظام. يحتاج أيضًا إلى منع الأشخاص من رؤية ملفات بعضهم البعض.
اقترح فرناندو جيه كورباتو مخططًا يخصص اسم مستخدم فريدًا لكل شخص. لإثبات أن شخصًا ما كان على طبيعته ، كان عليه استخدام كلمة مرور شخصية خاصة للوصول إلى حسابه.
تكمن مشكلة كلمات المرور في أنها تعمل تمامًا مثل المفتاح. يمكن لأي شخص لديه مفتاح استخدامه. إذا عثر شخص ما على كلمة مرورك أو خمنها أو اكتشفها ، فيمكن لهذا الشخص الوصول إلى حسابك. إلى أن تتوفر المصادقة متعددة العوامل عالميًا ، فإن كلمة المرور هي الشيء الوحيد الذي يُبقي الأشخاص غير المصرح لهم (الجهات الفاعلة في مجال التهديد ، في مجال الأمن السيبراني) خارج نظامك.
يمكن تكوين الاتصالات عن بُعد التي يتم إجراؤها بواسطة Secure Shell (SSH) لاستخدام مفاتيح SSH بدلاً من كلمات المرور ، وهذا أمر رائع. ومع ذلك ، فهذه طريقة اتصال واحدة فقط ، ولا تغطي عمليات تسجيل الدخول المحلية.
من الواضح أن إدارة كلمات المرور أمر حيوي ، وكذلك إدارة الأشخاص الذين يستخدمون كلمات المرور هذه.
ذات صلة: كيفية إنشاء وتثبيت مفاتيح SSH من Linux Shell
تشريح كلمة السر
ما الذي يجعل كلمة المرور جيدة على أي حال؟ حسنًا ، يجب أن تحتوي كلمة المرور الجيدة على جميع السمات التالية:
- من المستحيل التخمين أو الاستنتاج.
- لم تستخدمها في أي مكان آخر.
- لم تكن متورطة في خرق البيانات.
يحتوي موقع Have I Been Pwned (HIBP) على أكثر من 10 مليارات مجموعة من بيانات الاعتماد التي تم اختراقها. مع وجود أرقام عالية ، من المحتمل أن شخصًا آخر قد استخدم نفس كلمة المرور التي تستخدمها. هذا يعني أن كلمة مرورك قد تكون في قاعدة البيانات ، على الرغم من أنه لم يكن حسابك هو الذي تم اختراقه.
إذا كانت كلمة مرورك موجودة على موقع HIBP ، فهذا يعني أنها مدرجة في قوائم كلمات المرور التي يستخدمها ممثلو التهديد باستخدام القوة الغاشمة وأدوات هجوم القاموس عندما يحاولون اختراق حساب.
كلمة المرور العشوائية حقًا (مثل 4HW @ HpJDBr٪ * Wt @ # b ~ aP) غير معرضة للخطر عمليًا ، لكن بالطبع لن تتذكرها أبدًا. نوصي بشدة باستخدام مدير كلمات المرور للحسابات عبر الإنترنت. يقومون بإنشاء كلمات مرور معقدة وعشوائية لجميع حساباتك على الإنترنت ، ولا يتعين عليك تذكرها — يوفر مدير كلمات المرور كلمة المرور الصحيحة لك.
بالنسبة للحسابات المحلية ، يتعين على كل شخص إنشاء كلمة المرور الخاصة به. سيحتاجون أيضًا إلى معرفة كلمة المرور المقبولة وغير المقبولة. سيتعين عليهم إخبارهم بعدم إعادة استخدام كلمات المرور على حسابات أخرى ، وما إلى ذلك.
عادة ما تكون هذه المعلومات في سياسة كلمة المرور الخاصة بالمؤسسة. يوجه الأشخاص إلى استخدام الحد الأدنى لعدد الأحرف ، ومزج الأحرف الكبيرة والصغيرة ، وتضمين الرموز وعلامات الترقيم ، وما إلى ذلك.
ومع ذلك ، وفقًا لورقة بحثية جديدة تمامًا من فريق في جامعة كارنيجي ميلون ، فإن كل هذه الحيل تضيف القليل أو لا تضيف شيئًا إلى متانة كلمة المرور. وجد الباحثون أن العاملين الأساسيين لمتانة كلمة المرور هما أنهما لا يقل طولهما عن 12 حرفًا وقويان بدرجة كافية. قاموا بقياس قوة كلمة المرور باستخدام عدد من برامج تكسير البرامج والتقنيات الإحصائية والشبكات العصبية.
قد يبدو الحد الأدنى المكون من 12 حرفًا أمرًا شاقًا في البداية. ومع ذلك ، لا تفكر من حيث كلمة المرور ، بل بالأحرى ، عبارة مرور مكونة من ثلاث أو أربع كلمات غير ذات صلة مفصولة بعلامات ترقيم.
على سبيل المثال ، قال Experte Password Checker إن الأمر سيستغرق 42 دقيقة لكسر "chicago99" ، لكن 400 مليار سنة لكسر "chimney.purple.bag." من السهل أيضًا تذكرها وكتابتها ، وتحتوي على 18 حرفًا فقط.
ذات صلة: لماذا يجب عليك استخدام مدير كلمات المرور ، وكيفية البدء
مراجعة الإعدادات الحالية
قبل تغيير أي شيء يتعلق بكلمة مرور أي شخص ، من الحكمة إلقاء نظرة على إعداداته الحالية. باستخدام الأمر passwd
، يمكنك مراجعة إعداداتهم الحالية بخيار -S
(الحالة). لاحظ أنه سيتعين عليك أيضًا استخدام sudo
مع passwd
إذا كنت تعمل باستخدام إعدادات كلمة مرور شخص آخر.
نكتب ما يلي:
sudo passwd -S Mary
تتم طباعة سطر واحد من المعلومات على نافذة المحطة ، كما هو موضح أدناه.
ترى الأجزاء التالية من المعلومات (من اليسار إلى اليمين) في تلك الاستجابة المختصرة:
- اسم تسجيل دخول الشخص.
- يظهر هنا أحد المؤشرات الثلاثة المحتملة التالية:
- P: يشير إلى أن الحساب لديه كلمة مرور صالحة وعاملة.
- L: يعني أنه تم قفل الحساب من قبل مالك حساب الجذر.
- NP: لم يتم تعيين كلمة مرور.
- تاريخ آخر تغيير لكلمة المرور.
- الحد الأدنى لعمر كلمة المرور: الحد الأدنى للمدة الزمنية (بالأيام) التي يجب أن تنقضي بين عمليات إعادة تعيين كلمة المرور التي يقوم بها مالك الحساب. ومع ذلك ، يمكن لمالك حساب الجذر تغيير كلمة مرور أي شخص دائمًا. إذا كانت هذه القيمة تساوي 0 (صفر) ، فلا توجد قيود على تكرار تغييرات كلمة المرور.
- الحد الأقصى لعمر كلمة المرور: تتم مطالبة مالك الحساب بتغيير كلمة المرور الخاصة به عندما يبلغ هذا العمر. تُعطى هذه القيمة بالأيام ، لذا فإن القيمة 99999 تعني عدم انتهاء صلاحية كلمة المرور أبدًا.
- فترة التحذير من تغيير كلمة المرور: إذا تم فرض حد أقصى لعمر كلمة المرور ، فسيتلقى مالك الحساب تذكيرات لتغيير كلمة المرور الخاصة به. سيتم إرسال أول عدد من هذه الأيام معروض هنا قبل تاريخ إعادة التعيين.
- فترة عدم نشاط كلمة المرور: إذا لم يقم شخص ما بالوصول إلى النظام لفترة زمنية تتداخل مع الموعد النهائي لإعادة تعيين كلمة المرور ، فلن يتم تغيير كلمة مرور هذا الشخص. تشير هذه القيمة إلى عدد الأيام التي تلي فترة السماح لتاريخ انتهاء صلاحية كلمة المرور. إذا ظل الحساب غير نشط هذا العدد من الأيام بعد انتهاء صلاحية كلمة المرور ، فسيتم قفل الحساب. تؤدي القيمة -1 إلى تعطيل فترة السماح.
تعيين الحد الأقصى لعمر كلمة المرور
لتعيين فترة إعادة تعيين كلمة المرور ، يمكنك استخدام الخيار -x
(الحد الأقصى للأيام) مع عدد من الأيام. لا تترك مسافة بين -x
والأرقام ، لذا يمكنك كتابتها على النحو التالي:
سودو passwd -x45 ماري
أخبرنا أن قيمة انتهاء الصلاحية قد تغيرت ، كما هو موضح أدناه.
استخدم الخيار -S
(الحالة) للتحقق من أن القيمة الآن 45:
sudo passwd -S Mary
الآن ، بعد 45 يومًا ، يجب تعيين كلمة مرور جديدة لهذا الحساب. سيبدأ التذكير قبل سبعة أيام من ذلك. إذا لم يتم تعيين كلمة مرور جديدة في الوقت المناسب ، فسيتم قفل هذا الحساب على الفور.
فرض تغيير فوري لكلمة المرور
يمكنك أيضًا استخدام أمر حتى يضطر الآخرون على شبكتك إلى تغيير كلمات المرور الخاصة بهم في المرة التالية التي يسجلون فيها الدخول. للقيام بذلك ، يمكنك استخدام الخيار -e
(انتهاء الصلاحية) ، على النحو التالي:
sudo passwd -e Mary
ثم أخبرنا أن معلومات انتهاء صلاحية كلمة المرور قد تغيرت.
دعنا نتحقق من الخيار -S
ونرى ما حدث:
sudo passwd -S Mary
تم تعيين تاريخ آخر تغيير لكلمة المرور على اليوم الأول من عام 1970. في المرة التالية التي يحاول فيها هذا الشخص تسجيل الدخول ، سيتعين عليه تغيير كلمة المرور الخاصة به. يجب عليهم أيضًا تقديم كلمة المرور الحالية قبل أن يتمكنوا من كتابة كلمة مرور جديدة.
هل يجب عليك فرض تغييرات كلمة المرور؟
كان إجبار الأشخاص على تغيير كلمات المرور الخاصة بهم بانتظام أمرًا بديهيًا. لقد كانت إحدى خطوات الأمان الروتينية لمعظم عمليات التثبيت واعتبرت ممارسة تجارية جيدة.
التفكير الآن هو العكس القطبي. في المملكة المتحدة ، ينصح المركز الوطني للأمن السيبراني بشدة بعدم فرض تجديدات كلمات المرور المنتظمة ، ويوافق المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة على ذلك. توصي كلتا المنظمتين بفرض تغيير كلمة المرور فقط إذا كنت تعرف أو تشك في أن الآخرين يعرفون كلمة مرور موجودة.
يصبح إجبار الأشخاص على تغيير كلمات المرور الخاصة بهم أمرًا رتيبًا ويشجع على ضعف كلمات المرور. يبدأ الأشخاص عادةً في إعادة استخدام كلمة مرور أساسية مع تاريخ أو رقم آخر تم وضع علامة عليه. أو سيقومون بكتابتها لأنه يتعين عليهم تغييرها كثيرًا ، ولا يمكنهم تذكرها.
توصي المؤسستان اللتان ذكرناهما أعلاه بالإرشادات التالية لأمان كلمة المرور:
- استخدام مدير كلمات المرور: لكل من الحسابات عبر الإنترنت والمحلية.
- قم بتشغيل المصادقة الثنائية: أينما كان هذا الخيار ، استخدمه.
- استخدم عبارة مرور قوية: بديل ممتاز لتلك الحسابات التي لا تعمل مع مدير كلمات المرور. ثلاث كلمات أو أكثر مفصولة بعلامات ترقيم أو رموز هي نموذج جيد يجب اتباعه.
- لا تعيد استخدام كلمة المرور مطلقًا: تجنب استخدام نفس كلمة المرور التي تستخدمها لحساب آخر ، وبالتأكيد لا تستخدم واحدة مدرجة في Have I been Pwned.
ستتيح لك النصائح أعلاه إنشاء وسيلة آمنة للوصول إلى حساباتك. بمجرد الانتهاء من وضع هذه الإرشادات ، التزم بها. لماذا تغير كلمة مرورك إذا كانت قوية وآمنة؟ إذا وقع في الأيدي الخطأ - أو كنت تشك في أنه كذلك - يمكنك تغييره حينئذٍ.
في بعض الأحيان ، يكون هذا القرار بعيدًا عن متناول يديك. إذا تغيرت الصلاحيات التي يتم فرضها على كلمة المرور ، فلن يكون لديك الكثير من الخيارات. يمكنك الدفاع عن قضيتك والإعلان عن موقفك ، ولكن ما لم تكن رئيسًا ، يجب عليك اتباع سياسة الشركة.
ذات صلة: هل يجب عليك تغيير كلمات المرور الخاصة بك بانتظام؟
قيادة chage
يمكنك استخدام الأمر chage
لتغيير الإعدادات المتعلقة بعمر كلمة المرور. حصل هذا الأمر على اسمه من "تغيير الشيخوخة". إنه يشبه الأمر passwd
مع إزالة عناصر إنشاء كلمة المرور.
يقدم الخيار -l
(list) نفس المعلومات مثل الأمر passwd -S
، ولكن بطريقة أكثر ودية.
نكتب ما يلي:
sudo chage -l eric
لمسة أخرى رائعة هي أنه يمكنك تعيين تاريخ انتهاء صلاحية الحساب باستخدام خيار -E
(انتهاء الصلاحية). سنمرر تاريخًا (بتنسيق تاريخ السنة والشهر) لتعيين تاريخ انتهاء الصلاحية في 30 نوفمبر 2020. في ذلك التاريخ ، سيتم قفل الحساب.
نكتب ما يلي:
سودو تشاج إيريك-إي 2020-11-30
بعد ذلك ، نكتب ما يلي للتأكد من إجراء هذا التغيير:
sudo chage -l eric
نرى أن تاريخ انتهاء صلاحية الحساب قد تغير من "مطلقًا" إلى 30 نوفمبر 2020.
لتعيين فترة انتهاء صلاحية كلمة المرور ، يمكنك استخدام الخيار -M
(الحد الأقصى للأيام) ، إلى جانب الحد الأقصى لعدد الأيام التي يمكن أن تستخدم فيها كلمة المرور قبل أن يتعين تغييرها.
نكتب ما يلي:
سودو تشاج -M 45 ماري
نكتب ما يلي ، باستخدام الخيار -l
(list) ، لنرى تأثير الأمر الخاص بنا:
سودو تشاج - ماري
تم الآن تعيين تاريخ انتهاء صلاحية كلمة المرور على 45 يومًا من تاريخ تعيينها ، والذي ، كما هو موضح ، سيكون 8 ديسمبر 2020.
إجراء تغييرات كلمة المرور للجميع على الشبكة
عند إنشاء الحسابات ، يتم استخدام مجموعة من القيم الافتراضية لكلمات المرور. يمكنك تحديد القيم الافتراضية لأيام الحد الأدنى والحد الأقصى والتحذير. ثم يتم الاحتفاظ بها في ملف يسمى "/etc/login.defs."
يمكنك كتابة ما يلي لفتح هذا الملف في gedit
:
sudo gedit /etc/login.defs
قم بالتمرير إلى عناصر التحكم في تقادم كلمة المرور.
يمكنك تعديلها لتلائم متطلباتك ، وحفظ التغييرات ، ثم إغلاق المحرر. في المرة التالية التي تقوم فيها بإنشاء حساب مستخدم ، سيتم تطبيق هذه القيم الافتراضية.
إذا كنت تريد تغيير جميع تواريخ انتهاء صلاحية كلمة المرور لحسابات المستخدمين الحالية ، فيمكنك القيام بذلك بسهولة باستخدام برنامج نصي. ما عليك سوى كتابة ما يلي لفتح محرر gedit
وإنشاء ملف يسمى "password-date.sh":
sudo gedit password-date.sh
بعد ذلك ، انسخ النص التالي في المحرر الخاص بك ، واحفظ الملف ، ثم أغلق gedit
:
#! / بن / باش reset_days = 28 لاسم المستخدم بالدولار (ls / home) فعل sudo chage $ username -M $ reset_days تم تغيير echo $ username password expiry إلى $ reset_days فعله
سيؤدي هذا إلى تغيير الحد الأقصى لعدد الأيام لكل حساب مستخدم إلى 28 ، وبالتالي ، تكرار إعادة تعيين كلمة المرور. يمكنك ضبط قيمة متغير reset_days
لتناسب.
أولاً ، نكتب ما يلي لجعل البرنامج النصي الخاص بنا قابلاً للتنفيذ:
chmod + x password-date.sh
الآن ، يمكننا كتابة ما يلي لتشغيل البرنامج النصي الخاص بنا:
sudo ./password-date.sh
ثم تتم معالجة كل حساب ، كما هو موضح أدناه.
نكتب ما يلي للتحقق من حساب "ماري":
sudo التغيير - ماري
تم تعيين الحد الأقصى لقيمة الأيام على 28 ، وأخبرنا أن ذلك سيقع في 21 نوفمبر 2020. يمكنك أيضًا تعديل البرنامج النصي بسهولة وإضافة المزيد من أوامر chage
أو passwd
.
إدارة كلمة المرور شيء يجب أن يؤخذ على محمل الجد. الآن ، لديك الأدوات التي تحتاجها للتحكم.