Cómo obligar a los usuarios a cambiar sus contraseñas en Linux

Publicado: 2022-01-29
Un mensaje de "contraseña fallida" de sshd.
Ilya Titchev/Shutterstock

Las contraseñas son la piedra angular de la seguridad de la cuenta. Le mostraremos cómo restablecer contraseñas, establecer períodos de caducidad de contraseñas y hacer cumplir los cambios de contraseña en su red Linux.

La contraseña ha existido durante casi 60 años

Hemos estado demostrando a las computadoras que somos quienes decimos que somos desde mediados de la década de 1960, cuando se introdujo por primera vez la contraseña. Siendo la necesidad la madre de la invención, el Sistema de tiempo compartido compatible desarrollado en el Instituto de Tecnología de Massachusetts necesitaba una forma de identificar a las diferentes personas en el sistema. También necesitaba evitar que las personas vieran los archivos de los demás.

Fernando J. Corbato propuso un esquema que asignaba un nombre de usuario único a cada persona. Para probar que alguien era quien decía ser, tenía que usar una contraseña personal y privada para acceder a su cuenta.

El problema con las contraseñas es que funcionan como una llave. Cualquiera que tenga una llave puede usarla. Si alguien encuentra, adivina o descifra su contraseña, esa persona puede acceder a su cuenta. Hasta que la autenticación multifactor esté disponible universalmente, la contraseña es lo único que mantiene a las personas no autorizadas (actores de amenazas, en términos de ciberseguridad) fuera de su sistema.

Anuncio publicitario

Las conexiones remotas realizadas por Secure Shell (SSH) se pueden configurar para usar claves SSH en lugar de contraseñas, y eso es genial. Sin embargo, ese es solo un método de conexión y no cubre los inicios de sesión locales.

Claramente, la gestión de las contraseñas es vital, como lo es la gestión de las personas que las utilizan.

RELACIONADO: Cómo crear e instalar claves SSH desde el shell de Linux

La anatomía de una contraseña

¿Qué hace que una contraseña sea buena, de todos modos? Bueno, una buena contraseña debe tener todos los siguientes atributos:

  • Es imposible adivinar o averiguar.
  • No lo has usado en ningún otro lugar.
  • No ha estado involucrado en una violación de datos.

El sitio web Have I Been Pwned (HIBP) contiene más de 10 mil millones de conjuntos de credenciales violadas. Con cifras tan altas, es probable que alguien más haya usado la misma contraseña que usted. Esto significa que su contraseña podría estar en la base de datos, aunque no fue su cuenta la que fue violada.

Si su contraseña está en el sitio web de HIBP, significa que está en las listas de contraseñas que usan las herramientas de ataques de diccionario y de fuerza bruta de los actores de amenazas cuando intentan descifrar una cuenta.

Una contraseña verdaderamente aleatoria (como 4HW@HpJDBr%*Wt@#b~aP) es prácticamente invulnerable, pero, por supuesto, nunca la recordará. Le recomendamos encarecidamente que utilice un administrador de contraseñas para cuentas en línea. Generan contraseñas complejas y aleatorias para todas sus cuentas en línea y no tiene que recordarlas: el administrador de contraseñas le proporciona la contraseña correcta.

Para las cuentas locales, cada persona debe generar su propia contraseña. También necesitarán saber cuál es una contraseña aceptable y cuál no. Habrá que decirles que no reutilicen contraseñas en otras cuentas, y así sucesivamente.

Anuncio publicitario

Esta información suele estar en la política de contraseñas de una organización. Instruye a las personas a usar un número mínimo de caracteres, mezclar letras mayúsculas y minúsculas, incluir símbolos y puntuación, etc.

Sin embargo, según un nuevo artículo de un equipo de la Universidad Carnegie Mellon, todos estos trucos agregan poco o nada a la solidez de una contraseña. Los investigadores descubrieron que los dos factores clave para la solidez de las contraseñas son que tengan al menos 12 caracteres y sean lo suficientemente fuertes. Midieron la seguridad de la contraseña utilizando una serie de programas de descifrado de software, técnicas estadísticas y redes neuronales.

Un mínimo de 12 caracteres puede sonar desalentador al principio. Sin embargo, no piense en términos de una contraseña, sino en una frase de contraseña de tres o cuatro palabras no relacionadas separadas por puntuación.

Por ejemplo, Experte Password Checker dijo que tomaría 42 minutos descifrar "chicago99", pero 400 mil millones de años descifrar "chimney.purple.bag". También es fácil de recordar y escribir, y contiene solo 18 caracteres.

RELACIONADO: Por qué debería usar un administrador de contraseñas y cómo comenzar

Revisión de la configuración actual

Antes de cambiar cualquier cosa que tenga que ver con la contraseña de una persona, es prudente echar un vistazo a su configuración actual. Con el comando passwd , puede revisar su configuración actual con su opción -S (estado). Tenga en cuenta que también tendrá que usar sudo con passwd si está trabajando con la configuración de contraseña de otra persona.

Tecleamos lo siguiente:

 sudo passwd -S maría 

Se imprime una sola línea de información en la ventana del terminal, como se muestra a continuación.

Verá la siguiente información (de izquierda a derecha) en esa breve respuesta:

  • El nombre de inicio de sesión de la persona.
  • Aquí aparece uno de los tres posibles indicadores siguientes:
    • P: Indica que la cuenta tiene una contraseña de trabajo válida.
    • L: Significa que la cuenta ha sido bloqueada por el propietario de la cuenta raíz.
    • NP: No se ha establecido una contraseña.
  • La fecha en que se cambió la contraseña por última vez.
  • Antigüedad mínima de la contraseña: el período mínimo de tiempo (en días) que debe transcurrir entre los restablecimientos de contraseña realizados por el propietario de la cuenta. Sin embargo, el propietario de la cuenta raíz siempre puede cambiar la contraseña de cualquier persona. Si este valor es 0 (cero), no hay restricción en la frecuencia de los cambios de contraseña.
  • Antigüedad máxima de la contraseña: se le pide al propietario de la cuenta que cambie su contraseña cuando alcance esta edad. Este valor se proporciona en días, por lo que un valor de 99 999 significa que la contraseña nunca caduca.
  • Período de advertencia de cambio de contraseña: si se aplica una antigüedad máxima de contraseña, el propietario de la cuenta recibirá recordatorios para cambiar su contraseña. El primero de estos se enviará el número de días que se muestra aquí antes de la fecha de reinicio.
  • Período de inactividad para la contraseña: si alguien no accede al sistema durante un período de tiempo que se superpone a la fecha límite de restablecimiento de contraseña, la contraseña de esta persona no se cambiará. Este valor indica cuántos días sigue el período de gracia después de la fecha de vencimiento de la contraseña. Si la cuenta permanece inactiva esta cantidad de días después de que vence la contraseña, la cuenta se bloquea. Un valor de -1 deshabilita el período de gracia.

Establecer una antigüedad máxima de la contraseña

Para establecer un período de restablecimiento de contraseña, puede usar la opción -x (máximo de días) con una cantidad de días. No deja un espacio entre -x y los dígitos, por lo que lo escribiría de la siguiente manera:

 sudo passwd -x45 maría 

Anuncio publicitario

Se nos dice que el valor de caducidad ha cambiado, como se muestra a continuación.

Use la opción -S (estado) para comprobar que el valor ahora es 45:

 sudo passwd -S maría 

Ahora, en 45 días, se debe establecer una nueva contraseña para esta cuenta. Los recordatorios comenzarán siete días antes de eso. Si no se establece una nueva contraseña a tiempo, esta cuenta se bloqueará inmediatamente.

Hacer cumplir un cambio de contraseña inmediato

También puede usar un comando para que otros en su red tengan que cambiar sus contraseñas la próxima vez que inicien sesión. Para hacer esto, usaría la opción -e (caducar), de la siguiente manera:

 sudo passwd -e maría 

Luego se nos dice que la información de caducidad de la contraseña ha cambiado.

Verifiquemos con la opción -S y veamos qué sucedió:

 sudo passwd -S maría 

Anuncio publicitario

La fecha del último cambio de contraseña se establece en el primer día de 1970. La próxima vez que esta persona intente iniciar sesión, tendrá que cambiar su contraseña. También deben proporcionar su contraseña actual antes de poder escribir una nueva.

La pantalla de restablecimiento de contraseña.

¿Debe hacer cumplir los cambios de contraseña?

Obligar a las personas a cambiar sus contraseñas regularmente solía ser de sentido común. Era uno de los pasos de seguridad de rutina para la mayoría de las instalaciones y se consideraba una buena práctica comercial.

El pensamiento ahora es el polo opuesto. En el Reino Unido, el Centro Nacional de Seguridad Cibernética desaconseja encarecidamente hacer cumplir las renovaciones periódicas de contraseñas, y el Instituto Nacional de Estándares y Tecnología de los EE. UU. está de acuerdo. Ambas organizaciones recomiendan hacer cumplir un cambio de contraseña solo si sabe o sospecha que otros conocen una existente.

Obligar a las personas a cambiar sus contraseñas se vuelve monótono y fomenta contraseñas débiles. Las personas generalmente comienzan a reutilizar una contraseña base con una fecha u otro número etiquetado. O los escribirán porque tienen que cambiarlos tan a menudo que no pueden recordarlos.

Las dos organizaciones que mencionamos anteriormente recomiendan las siguientes pautas para la seguridad de las contraseñas:

  • Use un administrador de contraseñas: tanto para cuentas en línea como locales.
  • Active la autenticación de dos factores: siempre que esta sea una opción, utilícela.
  • Use una frase de contraseña segura: una excelente alternativa para aquellas cuentas que no funcionarán con un administrador de contraseñas. Tres o más palabras separadas por puntuación o símbolos es una buena plantilla a seguir.
  • Nunca reutilice una contraseña: Evite usar la misma contraseña que usa para otra cuenta, y definitivamente no use una lista en Have I Been Pwned.
Anuncio publicitario

Los consejos anteriores le permitirán establecer un medio seguro para acceder a sus cuentas. Una vez que tenga estas pautas en su lugar, apéguese a ellas. ¿Por qué cambiar su contraseña si es fuerte y segura? Si cae en las manos equivocadas, o si sospecha que lo ha hecho, puede cambiarlo en ese momento.

Sin embargo, a veces, esta decisión está fuera de tus manos. Si los poderes fácticos hacen cumplir los cambios de contraseña, no tiene muchas opciones. Puede defender su caso y dar a conocer su posición, pero a menos que sea el jefe, deberá seguir la política de la empresa.

RELACIONADO: ¿Debería cambiar sus contraseñas regularmente?

El comando de cambio

Puede usar el comando chage para cambiar la configuración con respecto a la caducidad de la contraseña. Este comando recibe su nombre de "cambiar el envejecimiento". Es como el comando passwd con los elementos de creación de contraseña eliminados.

La opción -l (lista) presenta la misma información que el comando passwd -S , pero de una manera más amigable.

Tecleamos lo siguiente:

 sudo chage -l eric 

Otro toque interesante es que puede establecer una fecha de vencimiento de la cuenta usando la opción -E (caducidad). Pasaremos una fecha (en el formato año-mes-fecha) para establecer una fecha de vencimiento del 30 de noviembre de 2020. En esa fecha, la cuenta se bloqueará.

Tecleamos lo siguiente:

 sudo chage eric -E 2020-11-30 

A continuación, escribimos lo siguiente para asegurarnos de que este cambio se haya realizado:

 sudo chage -l eric 

Vemos que la fecha de vencimiento de la cuenta ha cambiado de "nunca" al 30 de noviembre de 2020.

Anuncio publicitario

Para establecer un período de caducidad de la contraseña, puede usar la opción -M (días máximos), junto con la cantidad máxima de días que se puede usar una contraseña antes de que deba cambiarse.

Tecleamos lo siguiente:

 sudo chage -M 45 mary 

Escribimos lo siguiente, usando la opción -l (lista), para ver el efecto de nuestro comando:

 sudo chage -l maría 

La fecha de vencimiento de la contraseña ahora está establecida en 45 días a partir de la fecha en que la establecimos, que, como se muestra, será el 8 de diciembre de 2020.

Hacer cambios de contraseña para todos en una red

Cuando se crean cuentas, se utiliza un conjunto de valores predeterminados para las contraseñas. Puede definir cuáles son los valores predeterminados para los días mínimo, máximo y de advertencia. Estos se guardan en un archivo llamado "/etc/login.defs".

Puede escribir lo siguiente para abrir este archivo en gedit :

 sudo gedit /etc/login.defs 

Desplácese hasta los controles de antigüedad de la contraseña.

Los controles de antigüedad de la contraseña en el editor de gedit.

Puede editarlos para adaptarlos a sus requisitos, guardar los cambios y luego cerrar el editor. La próxima vez que cree una cuenta de usuario, se aplicarán estos valores predeterminados.

Anuncio publicitario

Si desea cambiar todas las fechas de vencimiento de las contraseñas de las cuentas de usuario existentes, puede hacerlo fácilmente con un script. Simplemente escriba lo siguiente para abrir el editor gedit y cree un archivo llamado "password-date.sh":

 sudo gedit contraseña-fecha.sh 

Luego, copie el siguiente texto en su editor, guarde el archivo y luego cierre gedit :

 #!/bin/bash

reset_days=28

para nombre de usuario en $(ls /home)
hacer
  sudo chage $nombre de usuario -M $reset_days
  echo $nombre de usuario caducidad de la contraseña cambiada a $reset_days
hecho

Esto cambiará el número máximo de días para cada cuenta de usuario a 28 y, por lo tanto, la frecuencia de restablecimiento de contraseña. Puede ajustar el valor de la variable reset_days para adaptarse.

Primero, escribimos lo siguiente para que nuestro script sea ejecutable:

 chmod +x contraseña-fecha.sh 

Ahora, podemos escribir lo siguiente para ejecutar nuestro script:

 sudo ./contraseña-fecha.sh 

Luego, cada cuenta se procesa, como se muestra a continuación.

Escribimos lo siguiente para verificar la cuenta de "mary":

 sudo cambio -l maría 

Anuncio publicitario

El valor máximo de días se ha establecido en 28 y se nos dice que caerá el 21 de noviembre de 2020. También puede modificar fácilmente el script y agregar más comandos chage o passwd .


La gestión de contraseñas es algo que debe tomarse en serio. Ahora, tiene las herramientas que necesita para tomar el control.