Cara Memaksa Pengguna untuk Mengubah Kata Sandi di Linux

Diterbitkan: 2022-01-29
Pesan "kata sandi gagal" dari sshd.
Ilya Titchev/Shutterstock

Kata sandi adalah kunci keamanan akun. Kami akan menunjukkan cara mengatur ulang kata sandi, mengatur periode kedaluwarsa kata sandi, dan menerapkan perubahan kata sandi di jaringan Linux Anda.

Kata Sandi Telah Ada Selama Hampir 60 Tahun

Kami telah membuktikan kepada komputer bahwa kami adalah siapa yang kami katakan sejak pertengahan 1960-an, ketika kata sandi pertama kali diperkenalkan. Kebutuhan sebagai induk dari penemuan, Sistem Pembagian Waktu yang Kompatibel yang dikembangkan di Massachusetts Institute of Technology membutuhkan cara untuk mengidentifikasi orang yang berbeda pada sistem. Itu juga diperlukan untuk mencegah orang melihat file satu sama lain.

Fernando J. Corbato mengusulkan skema yang mengalokasikan nama pengguna unik untuk setiap orang. Untuk membuktikan bahwa seseorang adalah seperti yang mereka katakan, mereka harus menggunakan kata sandi pribadi untuk mengakses akun mereka.

Masalah dengan kata sandi adalah mereka beroperasi seperti kunci. Siapa pun yang memiliki kunci dapat menggunakannya. Jika seseorang menemukan, menebak, atau mengetahui kata sandi Anda, orang itu dapat mengakses akun Anda. Sampai otentikasi multi-faktor tersedia secara universal, kata sandi adalah satu-satunya hal yang membuat orang yang tidak berwenang (pelaku ancaman, dalam istilah keamanan siber) keluar dari sistem Anda.

Iklan

Koneksi jarak jauh yang dibuat oleh Secure Shell (SSH) dapat dikonfigurasi untuk menggunakan kunci SSH alih-alih kata sandi, dan itu bagus. Namun, itu hanya satu metode koneksi, dan tidak mencakup login lokal.

Jelas, pengelolaan kata sandi sangat penting, seperti halnya pengelolaan orang yang menggunakan kata sandi tersebut.

TERKAIT: Cara Membuat dan Menginstal Kunci SSH Dari Shell Linux

Anatomi Kata Sandi

Apa yang membuat kata sandi bagus? Nah, kata sandi yang baik harus memiliki semua atribut berikut:

  • Tidak mungkin untuk menebak atau mencari tahu.
  • Anda belum menggunakannya di tempat lain.
  • Itu belum terlibat dalam pelanggaran data.

Situs web Have I Been Pwned (HIBP) berisi lebih dari 10 miliar set kredensial yang dilanggar. Dengan angka setinggi itu, kemungkinan orang lain pernah menggunakan password yang sama dengan Anda. Ini berarti kata sandi Anda mungkin ada di database, meskipun bukan akun Anda yang dilanggar.

Jika kata sandi Anda ada di situs web HIBP, ini berarti kata sandi itu ada dalam daftar alat serangan brute force dan kamus pelaku ancaman kata sandi yang digunakan saat mereka mencoba meretas akun.

Kata sandi yang benar-benar acak (seperti 4HW@HpJDBr%*Wt@#b~aP) praktis kebal, tetapi, tentu saja, Anda tidak akan pernah mengingatnya. Kami sangat menyarankan Anda menggunakan pengelola kata sandi untuk akun online. Mereka menghasilkan kata sandi acak yang kompleks untuk semua akun online Anda, dan Anda tidak perlu mengingatnya—pengelola kata sandi menyediakan kata sandi yang benar untuk Anda.

Untuk akun lokal, setiap orang harus membuat kata sandinya sendiri. Mereka juga perlu mengetahui kata sandi yang dapat diterima dan yang tidak. Mereka harus diberitahu untuk tidak menggunakan kembali kata sandi di akun lain, dan seterusnya.

Iklan

Informasi ini biasanya ada dalam Kebijakan Kata Sandi organisasi. Ini menginstruksikan orang untuk menggunakan jumlah karakter minimum, mencampur huruf besar dan kecil, menyertakan simbol dan tanda baca, dan sebagainya.

Namun, menurut makalah baru dari tim di Carnegie Mellon University, semua trik ini hanya sedikit atau tidak menambah kekokohan kata sandi. Para peneliti menemukan bahwa dua faktor kunci untuk ketahanan kata sandi adalah panjangnya setidaknya 12 karakter dan cukup kuat. Mereka mengukur kekuatan kata sandi menggunakan sejumlah program cracker perangkat lunak, teknik statistik, dan jaringan saraf.

Minimal 12 karakter mungkin terdengar menakutkan pada awalnya. Namun, jangan berpikir dalam hal kata sandi, melainkan frasa sandi yang terdiri dari tiga atau empat kata yang tidak terkait yang dipisahkan oleh tanda baca.

Misalnya, Pemeriksa Kata Sandi Experte mengatakan perlu 42 menit untuk memecahkan "chicago99", tetapi 400 miliar tahun untuk memecahkan "cerobong asap.purple.bag." Ini juga mudah diingat dan diketik, dan hanya berisi 18 karakter.

TERKAIT: Mengapa Anda Harus Menggunakan Pengelola Kata Sandi, dan Bagaimana Memulainya

Meninjau Pengaturan Saat Ini

Sebelum Anda mengubah apa pun yang berkaitan dengan kata sandi seseorang, adalah bijaksana untuk melihat pengaturan mereka saat ini. Dengan perintah passwd , Anda dapat meninjau pengaturan mereka saat ini dengan opsi -S (status). Perhatikan bahwa Anda juga harus menggunakan sudo dengan passwd jika Anda bekerja dengan pengaturan kata sandi orang lain.

Kami mengetik berikut ini:

 sudo passwd -S mary 

Satu baris informasi dicetak ke jendela terminal, seperti yang ditunjukkan di bawah ini.

Anda melihat potongan informasi berikut (dari kiri ke kanan) dalam respons singkat itu:

  • Nama login orang tersebut.
  • Salah satu dari tiga kemungkinan indikator berikut muncul di sini:
    • P: Menunjukkan akun memiliki kata sandi yang valid dan berfungsi.
    • L : Berarti akun sudah di lock oleh pemilik akun root.
    • NP: Kata sandi belum ditetapkan.
  • Tanggal terakhir kata sandi diubah.
  • Usia kata sandi minimum: Jangka waktu minimum (dalam hari) yang harus dilewati antara pengaturan ulang kata sandi yang dilakukan oleh pemilik akun. Pemilik akun root, bagaimanapun, selalu dapat mengubah kata sandi siapa pun. Jika nilainya 0 (nol), tidak ada batasan frekuensi perubahan password.
  • Usia kata sandi maksimum: Pemilik akun diminta untuk mengubah kata sandinya ketika mencapai usia ini. Nilai ini diberikan dalam hari, jadi nilai 99.999 berarti kata sandi tidak pernah kedaluwarsa.
  • Periode peringatan perubahan kata sandi: Jika usia kata sandi maksimum diberlakukan, pemilik akun akan menerima pengingat untuk mengubah kata sandinya. Yang pertama akan dikirim jumlah hari yang ditampilkan di sini sebelum tanggal reset.
  • Periode tidak aktif untuk kata sandi: Jika seseorang tidak mengakses sistem selama jangka waktu yang tumpang tindih dengan tenggat waktu penyetelan ulang kata sandi, kata sandi orang ini tidak akan diubah. Nilai ini menunjukkan berapa hari masa tenggang mengikuti tanggal kedaluwarsa kata sandi. Jika akun tetap tidak aktif selama beberapa hari setelah kata sandi kedaluwarsa, akun akan dikunci. Nilai -1 menonaktifkan masa tenggang.

Mengatur Usia Kata Sandi Maksimum

Untuk mengatur periode reset kata sandi, Anda dapat menggunakan opsi -x (hari maksimum) dengan jumlah hari. Anda tidak meninggalkan spasi di antara -x dan digit, jadi Anda akan mengetiknya sebagai berikut:

 sudo passwd -x45 mary 

Iklan

Kami diberitahu bahwa nilai kadaluwarsa telah diubah, seperti yang ditunjukkan di bawah ini.

Gunakan opsi -S (status) untuk memeriksa apakah nilainya sekarang 45:

 sudo passwd -S mary 

Sekarang, dalam 45 hari, kata sandi baru harus ditetapkan untuk akun ini. Pengingat akan dimulai tujuh hari sebelum itu. Jika kata sandi baru tidak disetel tepat waktu, akun ini akan segera dikunci.

Menegakkan Perubahan Kata Sandi Segera

Anda juga dapat menggunakan perintah sehingga orang lain di jaringan Anda harus mengubah kata sandi mereka saat mereka masuk lagi. Untuk melakukan ini, Anda akan menggunakan opsi -e (kedaluwarsa), sebagai berikut:

 sudo passwd -e mary 

Kami kemudian diberitahu bahwa informasi kedaluwarsa kata sandi telah berubah.

Mari kita periksa dengan opsi -S dan lihat apa yang terjadi:

 sudo passwd -S mary 

Iklan

Tanggal perubahan kata sandi terakhir diatur ke hari pertama tahun 1970. Kali berikutnya orang ini mencoba masuk, dia harus mengubah kata sandinya. Mereka juga harus memberikan kata sandi mereka saat ini sebelum mereka dapat mengetik yang baru.

Layar Atur Ulang Kata Sandi.

Haruskah Anda Menerapkan Perubahan Kata Sandi?

Memaksa orang untuk mengubah kata sandi mereka secara teratur digunakan untuk akal sehat. Itu adalah salah satu langkah keamanan rutin untuk sebagian besar instalasi dan dianggap sebagai praktik bisnis yang baik.

Pemikiran sekarang adalah kebalikannya. Di Inggris Raya, Pusat Keamanan Siber Nasional sangat menyarankan agar tidak memberlakukan pembaruan kata sandi secara teratur, dan Institut Nasional Standar dan Teknologi di AS setuju. Kedua organisasi merekomendasikan untuk menerapkan perubahan kata sandi hanya jika Anda mengetahui atau mencurigai bahwa kata sandi yang sudah ada diketahui oleh orang lain.

Memaksa orang untuk mengubah kata sandi mereka menjadi monoton dan mendorong kata sandi yang lemah. Orang biasanya mulai menggunakan kembali kata sandi dasar dengan tanggal atau nomor lain yang ditandai di atasnya. Atau, mereka akan menuliskannya karena mereka harus sering mengubahnya, mereka tidak dapat mengingatnya.

Dua organisasi yang kami sebutkan di atas merekomendasikan panduan berikut untuk keamanan kata sandi:

  • Gunakan pengelola kata sandi: Untuk akun online dan lokal.
  • Aktifkan autentikasi dua faktor: Di mana pun ini merupakan opsi, gunakan itu.
  • Gunakan frasa sandi yang kuat: Alternatif yang sangat baik untuk akun yang tidak berfungsi dengan pengelola kata sandi. Tiga kata atau lebih yang dipisahkan oleh tanda baca atau simbol adalah pola yang baik untuk diikuti.
  • Jangan pernah menggunakan kembali kata sandi: Hindari menggunakan kata sandi yang sama dengan yang Anda gunakan untuk akun lain, dan yang pasti jangan gunakan yang terdaftar di Have I Been Pwned.
Iklan

Kiat-kiat di atas akan memungkinkan Anda membuat sarana yang aman untuk mengakses akun Anda. Setelah Anda memiliki pedoman ini, patuhi mereka. Mengapa mengubah kata sandi Anda jika itu kuat dan aman? Jika jatuh ke tangan yang salah—atau Anda mencurigainya—Anda dapat mengubahnya.

Terkadang, keputusan ini di luar kendali Anda. Jika kekuatan yang menegakkan kata sandi berubah, Anda tidak punya banyak pilihan. Anda dapat mengajukan kasus Anda dan membuat posisi Anda diketahui, tetapi kecuali Anda bosnya, Anda harus mengikuti kebijakan perusahaan.

TERKAIT: Haruskah Anda Mengubah Kata Sandi Anda Secara Teratur?

Perintah chage

Anda dapat menggunakan perintah chage untuk mengubah pengaturan terkait penuaan kata sandi. Perintah ini mendapatkan namanya dari "ubah penuaan." Ini seperti perintah passwd dengan elemen pembuatan kata sandi dihapus.

Opsi -l (daftar) menyajikan informasi yang sama dengan perintah passwd -S , tetapi dengan cara yang lebih ramah.

Kami mengetik berikut ini:

 sudo chage -l eric 

Sentuhan rapi lainnya adalah Anda dapat mengatur tanggal kedaluwarsa akun menggunakan opsi -E (kedaluwarsa). Kami akan memberikan tanggal (dalam format tahun-bulan-tanggal) untuk menetapkan tanggal kedaluwarsa 30 November 2020. Pada tanggal tersebut, akun akan dikunci.

Kami mengetik berikut ini:

 sudo chage eric -E 2020-11-30 

Selanjutnya, kita ketik berikut ini untuk memastikan perubahan ini telah dilakukan:

 sudo chage -l eric 

Kami melihat tanggal kedaluwarsa akun telah berubah dari "tidak pernah" menjadi 30 November 2020.

Iklan

Untuk mengatur periode kedaluwarsa kata sandi, Anda dapat menggunakan opsi -M (hari maksimum), bersama dengan jumlah hari maksimum kata sandi dapat digunakan sebelum harus diubah.

Kami mengetik berikut ini:

 sudo chage -M 45 mary 

Kami mengetik berikut ini, menggunakan opsi -l (daftar), untuk melihat efek dari perintah kami:

 sudo chage -l mary 

Tanggal kedaluwarsa kata sandi sekarang disetel ke 45 hari dari tanggal yang kami tetapkan, yang, seperti yang ditunjukkan, adalah 8 Desember 2020.

Membuat Perubahan Kata Sandi untuk Semua Orang di Jaringan

Saat akun dibuat, serangkaian nilai default digunakan untuk kata sandi. Anda dapat menentukan default untuk hari minimum, maksimum, dan peringatan. Ini kemudian disimpan dalam file bernama "/etc/login.defs."

Anda dapat mengetik berikut ini untuk membuka file ini di gedit :

 sudo gedit /etc/login.defs 

Gulir ke kontrol penuaan kata sandi.

Kontrol penuaan kata sandi di editor gedit.

Anda dapat mengeditnya agar sesuai dengan kebutuhan Anda, menyimpan perubahan Anda, lalu menutup editor. Saat berikutnya Anda membuat akun pengguna, nilai default ini akan diterapkan.

Iklan

Jika Anda ingin mengubah semua tanggal kedaluwarsa kata sandi untuk akun pengguna yang ada, Anda dapat dengan mudah melakukannya dengan skrip. Cukup ketik berikut ini untuk membuka editor gedit dan buat file bernama “password-date.sh”:

 sudo gedit password-date.sh 

Selanjutnya, salin teks berikut ke editor Anda, simpan file, lalu tutup gedit :

 #!/bin/bash

reset_days=28

untuk nama pengguna di $(ls /home)
melakukan
  sudo chage $username -M $reset_days
  echo $username password kadaluwarsa diubah menjadi $reset_days
selesai

Ini akan mengubah jumlah hari maksimum untuk setiap akun pengguna menjadi 28, dan oleh karena itu, frekuensi pengaturan ulang kata sandi. Anda dapat menyesuaikan nilai variabel reset_days agar sesuai.

Pertama, kami mengetik yang berikut untuk membuat skrip kami dapat dieksekusi:

 chmod +x password-date.sh 

Sekarang, kita dapat mengetikkan yang berikut untuk menjalankan skrip kita:

 sudo ./password-date.sh 

Setiap akun kemudian diproses, seperti yang ditunjukkan di bawah ini.

Kami mengetik berikut ini untuk memeriksa akun untuk "mary":

 sudo ubah -l mary 

Iklan

Nilai hari maksimum telah ditetapkan ke 28, dan kami diberitahu bahwa itu akan jatuh pada 21 November 2020. Anda juga dapat dengan mudah memodifikasi skrip dan menambahkan lebih banyak perintah chage atau passwd .


Manajemen kata sandi adalah sesuatu yang harus ditanggapi dengan serius. Sekarang, Anda memiliki alat yang Anda butuhkan untuk mengambil kendali.