Cum să forțați utilizatorii să-și schimbe parolele pe Linux

Publicat: 2022-01-29
Un mesaj „parolă eșuată” de la sshd.
Ilya Titchev/Shutterstock

Parolele sunt cheia de boltă a securității contului. Vă vom arăta cum să resetați parolele, să setați perioadele de expirare a parolelor și să impuneți modificările parolei în rețeaua dvs. Linux.

Parola există de aproape 60 de ani

Le-am dovedit computerelor că suntem ceea ce spunem că suntem încă de la mijlocul anilor 1960, când parola a fost introdusă pentru prima dată. Necesitatea fiind mama invenției, sistemul compatibil de partajare a timpului dezvoltat la Institutul de Tehnologie din Massachusetts avea nevoie de o modalitate de a identifica diferite persoane din sistem. De asemenea, trebuia să împiedice oamenii să-și vadă fișierele.

Fernando J. Corbato a propus o schemă care aloca un nume de utilizator unic fiecărei persoane. Pentru a dovedi că cineva este cine spunea că este, a trebuit să folosească o parolă privată, personală pentru a-și accesa contul.

Problema cu parolele este că acestea funcționează la fel ca o cheie. Oricine are o cheie o poate folosi. Dacă cineva găsește, ghicește sau își dă seama de parola dvs., persoana respectivă vă poate accesa contul. Până când autentificarea cu mai mulți factori este disponibilă universal, parola este singurul lucru care ține persoanele neautorizate (actorii de amenințări, în ceea ce privește securitatea cibernetică) departe de sistemul dumneavoastră.

Publicitate

Conexiunile de la distanță realizate de un Secure Shell (SSH) pot fi configurate pentru a utiliza chei SSH în loc de parole și asta este grozav. Cu toate acestea, aceasta este o singură metodă de conectare și nu acoperă conectările locale.

În mod clar, gestionarea parolelor este vitală, la fel ca și gestionarea persoanelor care folosesc acele parole.

LEGATE: Cum se creează și se instalează chei SSH din Shell Linux

Anatomia unei parole

Ce face o parolă bună, oricum? Ei bine, o parolă bună ar trebui să aibă toate următoarele atribute:

  • Este imposibil de ghicit sau de înțeles.
  • Nu l-ai folosit altundeva.
  • Nu a fost implicat într-o încălcare a datelor.

Site-ul web Have I Been Pwned (HIBP) conține peste 10 miliarde de seturi de acreditări încălcate. Cu cifre atât de mari, sunt șansele ca altcineva să fi folosit aceeași parolă. Aceasta înseamnă că parola dvs. ar putea fi în baza de date, chiar dacă nu contul dvs. a fost încălcat.

Dacă parola dvs. se află pe site-ul web HIBP, aceasta înseamnă că se află pe listele de parole pe care le folosesc instrumentele de atac cu forță brută și dicționar ale actorilor de amenințări atunci când încearcă să spargă un cont.

O parolă cu adevărat aleatorie (cum ar fi 4HW@HpJDBr%*Wt@#b~aP) este practic invulnerabilă, dar, desigur, nu ți-o vei aminti niciodată. Vă recomandăm să utilizați un manager de parole pentru conturile online. Acestea generează parole complexe, aleatorii pentru toate conturile dvs. online și nu trebuie să le amintiți - managerul de parole vă oferă parola corectă.

Pentru conturile locale, fiecare persoană trebuie să-și genereze propria parolă. De asemenea, vor trebui să știe ce este o parolă acceptabilă și ce nu. Va trebui să li se spună să nu refolosească parolele pe alte conturi și așa mai departe.

Publicitate

Aceste informații se află de obicei în Politica de parole a unei organizații. Le instruiește pe oameni să folosească un număr minim de caractere, să amestece litere mari și mici, să includă simboluri și semne de punctuație și așa mai departe.

Cu toate acestea, conform unui articol nou-nouț al unei echipe de la Universitatea Carnegie Mellon, toate aceste trucuri adaugă puțin sau nimic la robustețea unei parole. Cercetătorii au descoperit că cei doi factori cheie pentru robustețea parolei sunt că au cel puțin 12 caractere și sunt suficient de puternice. Ei au măsurat puterea parolei folosind o serie de programe software de spargere, tehnici statistice și rețele neuronale.

Un minim de 12 caractere poate suna descurajant la început. Cu toate acestea, nu gândiți în termeni de parolă, ci mai degrabă, de o expresie de acces de trei sau patru cuvinte care nu au legătură, separate prin semne de punctuație.

De exemplu, Experte Password Checker a spus că ar dura 42 de minute pentru a sparge „chicago99”, dar 400 de miliarde de ani pentru a sparge „chimney.purple.bag”. De asemenea, este ușor de reținut și de tastat și conține doar 18 caractere.

LEGATE: De ce ar trebui să utilizați un manager de parole și cum să începeți

Revizuirea setărilor curente

Înainte de a schimba ceva legat de parola unei persoane, este prudent să aruncați o privire asupra setărilor actuale ale acesteia. Cu comanda passwd , puteți revizui setările lor curente cu opțiunea -S (stare). Rețineți că, de asemenea, va trebui să utilizați sudo cu passwd dacă lucrați cu setările de parolă ale altcuiva.

Introducem următoarele:

 sudo passwd -S mary

O singură linie de informații este tipărită în fereastra terminalului, așa cum se arată mai jos.

Vedeți următoarele informații (de la stânga la dreapta) în acel răspuns scurt:

  • Numele de conectare al persoanei.
  • Unul dintre următorii trei indicatori posibili apare aici:
    • P: Indică că contul are o parolă validă și funcțională.
    • L: Înseamnă că contul a fost blocat de proprietarul contului root.
    • NP: Nu a fost setată o parolă.
  • Data ultimei modificări a parolei.
  • Vârsta minimă a parolei: perioada minimă de timp (în zile) care trebuie să treacă între resetările parolei efectuate de proprietarul contului. Cu toate acestea, proprietarul contului root poate schimba oricând parola oricui. Dacă această valoare este 0 (zero), nu există o restricție privind frecvența modificărilor parolei.
  • Vârsta maximă a parolei: proprietarului contului i se solicită să-și schimbe parola când acesta împlinește această vârstă. Această valoare este dată în zile, deci o valoare de 99.999 înseamnă că parola nu expiră niciodată.
  • Perioada de avertizare privind modificarea parolei: dacă se aplică o vârstă maximă a parolei, proprietarul contului va primi mementouri pentru a-și schimba parola. Primul dintre acestea va fi trimis cu numărul de zile afișat aici înainte de data de resetare.
  • Perioada de inactivitate pentru parolă: dacă cineva nu accesează sistemul pentru o perioadă de timp care se suprapune cu termenul limită de resetare a parolei, parola acestei persoane nu va fi modificată. Această valoare indică câte zile urmează perioada de grație după data de expirare a parolei. Dacă contul rămâne inactiv în acest număr de zile după expirarea unei parole, contul este blocat. O valoare de -1 dezactivează perioada de grație.

Setarea unei vechime maxime a parolei

Pentru a seta o perioadă de resetare a parolei, puteți utiliza opțiunea -x (maximum de zile) cu un număr de zile. Nu lăsați un spațiu între -x și cifre, așa că l-ați tasta după cum urmează:

 sudo passwd -x45 mary

Publicitate

Ni se spune că valoarea de expirare a fost modificată, așa cum se arată mai jos.

Utilizați opțiunea -S (stare) pentru a verifica dacă valoarea este acum 45:

 sudo passwd -S mary

Acum, în 45 de zile, trebuie setată o nouă parolă pentru acest cont. Mementourile vor începe cu șapte zile înainte de aceasta. Dacă o nouă parolă nu este setată la timp, acest cont va fi blocat imediat.

Aplicarea unei modificări imediate a parolei

De asemenea, puteți utiliza o comandă, astfel încât ceilalți din rețeaua dvs. să fie nevoiți să-și schimbe parolele data viitoare când se conectează. Pentru a face acest lucru, ați folosi opțiunea -e (expire), după cum urmează:

 sudo passwd -e mary

Apoi ni se spune că informațiile despre expirarea parolei s-au schimbat.

Să verificăm cu opțiunea -S și să vedem ce s-a întâmplat:

 sudo passwd -S mary

Publicitate

Data ultimei modificări a parolei este setată la prima zi a anului 1970. Data viitoare când această persoană încearcă să se autentifice, va trebui să-și schimbe parola. De asemenea, trebuie să furnizeze parola curentă înainte de a putea introduce una nouă.

Ecranul Resetare parolă.

Ar trebui să impuneți modificările parolei?

Forțarea oamenilor să-și schimbe parolele în mod regulat era de bun simț. A fost unul dintre pașii de securitate de rutină pentru majoritatea instalațiilor și considerat o bună practică de afaceri.

Gândirea de acum este polar opus. În Marea Britanie, Centrul Național de Securitate Cibernetică recomandă cu fermitate să nu impună reînnoiri regulate de parole, iar Institutul Național de Standarde și Tehnologie din SUA este de acord. Ambele organizații recomandă aplicarea unei modificări a parolei numai dacă știți sau bănuiți că una existentă este cunoscută de alții.

Forțarea oamenilor să-și schimbe parolele devine monoton și încurajează parolele slabe. Oamenii încep de obicei să refolosească o parolă de bază cu o dată sau alt număr etichetat pe ea. Sau, le vor nota pentru că trebuie să le schimbe atât de des, încât nu le pot aminti.

Cele două organizații pe care le-am menționat mai sus recomandă următoarele reguli pentru securitatea parolei:

  • Utilizați un manager de parole: atât pentru conturile online, cât și pentru cele locale.
  • Activați autentificarea cu doi factori: oriunde aceasta este o opțiune, utilizați-o.
  • Utilizați o expresie de acces puternică: o alternativă excelentă pentru acele conturi care nu vor funcționa cu un manager de parole. Trei sau mai multe cuvinte separate prin semne de punctuație sau simboluri este un șablon bun de urmat.
  • Nu reutilizați niciodată o parolă: evitați să utilizați aceeași parolă pe care o utilizați pentru alt cont și cu siguranță nu folosiți una listată pe Have I Been Pwned.
Publicitate

Sfaturile de mai sus vă vor permite să stabiliți un mijloc sigur de a vă accesa conturile. Odată ce ai stabilit aceste linii directoare, rămâi cu ele. De ce să vă schimbați parola dacă este puternică și sigură? Dacă cade în mâinile greșite – sau bănuiți că a făcut-o – o puteți schimba atunci.

Uneori, această decizie scapă însă din mâinile tale. Dacă se schimbă puterea de aplicare a parolei, nu mai aveți de ales. Puteți să vă pledați cazul și să vă faceți cunoscută poziția, dar dacă nu sunteți șeful, va trebui să urmați politica companiei.

LEGATE: Ar trebui să vă schimbați parolele în mod regulat?

Comanda de schimbare

Puteți folosi comanda chage pentru a modifica setările privind vechimea parolei. Această comandă își ia numele de la „schimbați îmbătrânirea”. Este ca și comanda passwd cu elementele de creare a parolei eliminate.

Opțiunea -l (listă) prezintă aceleași informații ca și comanda passwd -S , dar într-un mod mai prietenos.

Introducem următoarele:

 sudo chage -l eric

O altă atingere bună este că puteți seta o dată de expirare a contului utilizând opțiunea -E (expirare). Vom transmite o dată (în formatul an-lună-dat) pentru a seta o dată de expirare de 30 noiembrie 2020. La acea dată, contul va fi blocat.

Introducem următoarele:

 sudo chage eric -E 2020-11-30

Apoi, introducem următoarele pentru a ne asigura că această modificare a fost făcută:

 sudo chage -l eric

Vedem că data de expirare a contului s-a schimbat de la „niciodată” la 30 noiembrie 2020.

Publicitate

Pentru a seta o perioadă de expirare a parolei, puteți utiliza opțiunea -M (maximum de zile), împreună cu numărul maxim de zile pe care o parolă poate fi folosită înainte de a fi schimbată.

Introducem următoarele:

 sudo chage -M 45 mary

Introducem următoarele, folosind opțiunea -l (listă), pentru a vedea efectul comenzii noastre:

 sudo chage -l mary

Data de expirare a parolei este acum setată la 45 de zile de la data la care am stabilit-o, care, după cum ni se arată, va fi 8 decembrie 2020.

Efectuarea modificărilor parolei pentru toată lumea dintr-o rețea

Când sunt create conturile, se utilizează un set de valori implicite pentru parole. Puteți defini care sunt valorile implicite pentru zilele minime, maxime și de avertizare. Acestea sunt apoi păstrate într-un fișier numit „/etc/login.defs”.

Puteți introduce următoarele pentru a deschide acest fișier în gedit :

 sudo gedit /etc/login.defs

Derulați la comenzile privind vechimea parolei.

Controlul vechimii parolei în editorul gedit.

Puteți să le editați în funcție de cerințele dvs., să salvați modificările și apoi să închideți editorul. Data viitoare când creați un cont de utilizator, aceste valori implicite vor fi aplicate.

Publicitate

Dacă doriți să schimbați toate datele de expirare a parolelor pentru conturile de utilizator existente, puteți face acest lucru cu ușurință cu un script. Trebuie doar să tastați următoarele pentru a deschide editorul gedit și a crea un fișier numit „password-date.sh”:

 sudo gedit parola-date.sh

Apoi, copiați următorul text în editorul dvs., salvați fișierul și apoi închideți gedit :

 #!/bin/bash

reset_days=28

pentru numele de utilizator în $(ls /home)
do
  sudo chage $nume utilizator -M $resetare_zile
  expirarea parolei echo $nume utilizator a fost schimbată în $reset_days
Terminat

Acest lucru va schimba numărul maxim de zile pentru fiecare cont de utilizator la 28 și, prin urmare, frecvența de resetare a parolei. Puteți ajusta valoarea variabilei reset_days pentru a se potrivi.

Mai întâi, introducem următoarele pentru a face scriptul nostru executabil:

 chmod +x parola-date.sh

Acum, putem tasta următoarele pentru a rula scriptul nostru:

 sudo ./password-date.sh

Fiecare cont este apoi procesat, după cum se arată mai jos.

Introducem următoarele pentru a verifica contul pentru „mary”:

 sudo change -l mary

Publicitate

Valoarea maximă a zilelor a fost setată la 28 și ni s-a spus că va cădea pe 21 noiembrie 2020. De asemenea, puteți modifica cu ușurință scriptul și puteți adăuga mai multe comenzi chage sau passwd .

Gestionarea parolelor este ceva care trebuie luat în serios. Acum, aveți instrumentele de care aveți nevoie pentru a prelua controlul.