Come forzare gli utenti a modificare le proprie password su Linux

Le password sono la chiave di volta per la sicurezza dell'account. Ti mostreremo come reimpostare le password, impostare i periodi di scadenza delle password e applicare le modifiche alle password sulla tua rete Linux.

La password esiste da quasi 60 anni

Dimostriamo ai computer che siamo chi diciamo di essere dalla metà degli anni '60, quando la password è stata introdotta per la prima volta. Necessità essendo la madre dell'invenzione, il Sistema di condivisione del tempo compatibile sviluppato al Istituto di Tecnologia del Massachussetts aveva bisogno di un modo per identificare diverse persone nel sistema. Doveva anche impedire alle persone di vedere i file degli altri.

Fernando J. Corbató ha proposto uno schema che assegnasse un nome utente univoco a ciascuna persona. Per dimostrare che qualcuno era chi diceva di essere, dovevano utilizzare una password privata e personale per accedere al proprio account.

Il problema con le password è che funzionano proprio come una chiave. Chiunque abbia una chiave può usarla. Se qualcuno trova, indovina o scopre la tua password, quella persona può accedere al tuo account. Fino a quando autenticazione a più fattori è universalmente disponibile, la password è l'unica cosa che trattiene le persone non autorizzate ( attori della minaccia , in termini di sicurezza informatica) dal tuo sistema.

Annuncio pubblicitario

Le connessioni remote effettuate da Secure Shell (SSH) possono essere configurate per utilizzare le chiavi SSH invece delle password, e questo è fantastico. Tuttavia, questo è solo un metodo di connessione e non copre gli accessi locali.

Chiaramente, la gestione delle password è vitale, così come la gestione delle persone che utilizzano tali password.

IMPARENTATO: Come creare e installare chiavi SSH dalla shell Linux

L'anatomia di una password

Cosa rende buona una password, comunque? Bene, una buona password dovrebbe avere tutti i seguenti attributi:

È impossibile indovinare o capire.
Non l'hai usato da nessun'altra parte.
Non è stato coinvolto in un attacco di forza bruta e dizionario strumenti utilizzati quando stanno cercando di craccare un account.

Una password veramente casuale (come 4HW@HpJDBr%*Wt@#b~aP) è praticamente invulnerabile, ma, ovviamente, non la ricorderesti mai. Ti consigliamo vivamente di utilizzare un gestore di password per gli account online. Generano password complesse e casuali per tutti i tuoi account online e non devi ricordarle: il gestore di password fornisce la password corretta per te.

Per gli account locali, ogni persona deve generare la propria password. Dovranno anche sapere qual è una password accettabile e cosa no. Dovranno essere informati di non riutilizzare le password su altri account e così via.
Annuncio pubblicitario

Queste informazioni si trovano in genere nella politica delle password di un'organizzazione. Indica alle persone di utilizzare un numero minimo di caratteri, mescolare lettere maiuscole e minuscole, includere simboli e punteggiatura e così via.

Tuttavia, secondo una carta nuova di zecca r da una squadra a Università Carnegie Mellon , tutti questi trucchi aggiungono poco o nulla alla robustezza di una password. I ricercatori hanno scoperto che i due fattori chiave per la robustezza delle password sono che sono lunghe almeno 12 caratteri e sufficientemente forti. Hanno misurato la forza della password utilizzando una serie di programmi software cracker, tecniche statistiche e reti neurali.

Un minimo di 12 caratteri potrebbe sembrare scoraggiante all'inizio. Tuttavia, non pensare in termini di password, ma piuttosto di una passphrase di tre o quattro parole non correlate separate da punteggiatura.

Ad esempio, il Controllore password esperto ha detto che ci sarebbero voluti 42 minuti per rompere chicago99, ma 400 miliardi di anni per rompere camino.purple.bag. È anche facile da ricordare e digitare e contiene solo 18 caratteri.

IMPARENTATO: Perché dovresti usare un gestore di password e come iniziare

Revisione delle impostazioni correnti

Prima di cambiare qualcosa a che fare con la password di una persona, è prudente dare un'occhiata alle sue impostazioni attuali. Con |_+_| comando, puoi rivedere le loro impostazioni attuali con il suo |_+_| (stato) opzione. Nota che dovrai anche usare |_+_| con |_+_| se stai lavorando con le impostazioni della password di qualcun altro.

Digitiamo quanto segue:
passwd

Una singola riga di informazioni viene stampata nella finestra del terminale, come mostrato di seguito.

Vedi le seguenti informazioni (da sinistra a destra) in quella risposta secca:
Impostazione di un'età massima per la password

Per impostare un periodo di reimpostazione della password, puoi utilizzare |_+_| (massimo giorni) opzione con un numero di giorni. Non lasci uno spazio tra |_+_| e le cifre, quindi dovresti digitarlo come segue:
-S

Annuncio pubblicitario

Ci è stato detto che il valore di scadenza è stato modificato, come mostrato di seguito.

Usa il |_+_| (stato) per verificare che il valore ora sia 45:
sudo

Ora, tra 45 giorni, è necessario impostare una nuova password per questo account. I promemoria inizieranno sette giorni prima. Se una nuova password non viene impostata in tempo, questo account verrà bloccato immediatamente.

Applicazione di una modifica immediata della password

Puoi anche usare un comando in modo che gli altri sulla tua rete debbano cambiare le loro password la prossima volta che accedono. Per farlo, dovresti usare il |_+_| (scadenza) opzione, come segue:
passwd

Ci viene quindi detto che le informazioni sulla scadenza della password sono cambiate.

Verifichiamo con |_+_| opzione e vedere cosa è successo:
-x

Annuncio pubblicitario

La data dell'ultima modifica della password è fissata al primo giorno del 1970. La prossima volta che questa persona tenterà di accedere, dovrà cambiare la password. Devono inoltre fornire la password corrente prima di poterne digitare una nuova.

Dovresti imporre modifiche alla password?

Forzare le persone a cambiare la propria password regolarmente era una cosa di buon senso. Era uno dei passaggi di sicurezza di routine per la maggior parte delle installazioni ed era considerato una buona pratica aziendale.

Il pensiero ora è l'esatto opposto. Nel Regno Unito, il Centro nazionale per la sicurezza informatica consiglia vivamente contro l'applicazione di regolari rinnovi della password , e il Istituto nazionale di standard e tecnologia negli Stati Uniti è d'accordo. Entrambe le organizzazioni consigliano di imporre una modifica della password solo se si sa o si sospetta che una esistente lo sia conosciuto da altri .

Forzare le persone a cambiare le proprie password diventa monotono e incoraggia le password deboli. Le persone di solito iniziano a riutilizzare una password di base con una data o un altro numero etichettati su di essa. Oppure li scriveranno perché devono cambiarli così spesso che non riescono a ricordarli.

Le due organizzazioni che abbiamo menzionato sopra raccomandano le seguenti linee guida per la sicurezza delle password:
Annuncio pubblicitario

I suggerimenti di cui sopra ti permetteranno di stabilire un mezzo sicuro per accedere ai tuoi account. Una volta che hai queste linee guida in atto, attieniti a loro. Come mai Cambia la tua password se è forte e sicuro? Se cade nelle mani sbagliate, o sospetti che sia così, puoi cambiarlo.

A volte, però, questa decisione è fuori dalle tue mani. Se i poteri che impongono la password cambiano, non hai molta scelta. Puoi perorare la tua causa e rendere nota la tua posizione, ma a meno che tu non sia il capo, dovrai seguire la politica aziendale.

IMPARENTATO: Dovresti cambiare le tue password regolarmente?

Il comando chage

Puoi usare il |_+_| comando per modificare le impostazioni relative all'invecchiamento della password. Questo comando prende il nome dalla modifica dell'invecchiamento. È come il |_+_| comando con gli elementi di creazione della password rimossi.

Il |_+_| (lista) presenta le stesse informazioni dell'opzione |_+_| comando, ma in modo più amichevole.

Digitiamo quanto segue:
-x

Un altro bel tocco è che puoi impostare una data di scadenza dell'account utilizzando |_+_| (scadenza) opzione. Passeremo una data (nel formato anno-mese-data) per impostare una data di scadenza del 30 novembre 2020. In quella data, l'account verrà bloccato.

Digitiamo quanto segue:
-S

Successivamente, digitiamo quanto segue per assicurarci che questa modifica sia stata eseguita:
-e

Vediamo che la data di scadenza dell'account è cambiata da mai a 30 novembre 2020.
Annuncio pubblicitario

Per impostare un periodo di scadenza della password, puoi utilizzare |_+_| (giorni massimi), insieme al numero massimo di giorni in cui una password può essere utilizzata prima che debba essere modificata.

Digitiamo quanto segue:
-S

Digitiamo quanto segue, utilizzando |_+_| (list), per vedere l'effetto del nostro comando:
chage

La data di scadenza della password è ora impostata su 45 giorni dalla data in cui l'abbiamo impostata, che, come mostrato, sarà l'8 dicembre 2020.

Apportare modifiche alla password per tutti su una rete

Quando vengono creati gli account, per le password viene utilizzato un insieme di valori predefiniti. È possibile definire quali sono le impostazioni predefinite per i giorni minimo, massimo e di avviso. Questi vengono quindi conservati in un file chiamato /etc/login.defs.

Puoi digitare quanto segue per aprire questo file in |_+_|:
passwd

Scorri fino ai controlli di durata della password.

Puoi modificarli in base alle tue esigenze, salvare le modifiche e quindi chiudere l'editor. La prossima volta che creerai un account utente, verranno applicati questi valori predefiniti.
Annuncio pubblicitario

Se desideri modificare tutte le date di scadenza della password per gli account utente esistenti, puoi farlo facilmente con uno script. Basta digitare quanto segue per aprire il |_+_| editor e creare un file chiamato password-date.sh:
-l

Quindi, copia il seguente testo nel tuo editor, salva il file e poi chiudi |_+_|:
passwd -S
Questo cambierà il numero massimo di giorni per ogni account utente in 28 e, di conseguenza, la frequenza di reimpostazione della password. È possibile regolare il valore di |_+_| variabile per adattarsi.

Innanzitutto, digitiamo quanto segue per rendere eseguibile il nostro script:
-E

Ora possiamo digitare quanto segue per eseguire il nostro script:
-M

Ogni account viene quindi elaborato, come mostrato di seguito.

Digitiamo quanto segue per controllare l'account per Mary:
-l

Annuncio pubblicitario

Il valore massimo dei giorni è stato impostato su 28 e ci è stato detto che cadrà il 21 novembre 2020. Puoi anche modificare facilmente lo script e aggiungere altro |_+_| oppure |_+_| comandi.

La gestione delle password è qualcosa che deve essere preso sul serio. Ora hai gli strumenti necessari per assumere il controllo.
LEGGI SUCCESSIVO
- & rsaquo; Cyber Monday 2021: le migliori offerte tecnologiche
- › La cartella del computer è 40: come la star di Xerox ha creato il desktop
- › 5 siti Web che ogni utente Linux dovrebbe aggiungere ai segnalibri
- › Che cos'è la protezione anticaduta MIL-SPEC?
- › Funzioni e formule in Microsoft Excel: qual è la differenza?
- › Come trovare il tuo Spotify Wrapped 2021
Dave McKay
Dave McKay ha usato per la prima volta i computer quando era in voga il nastro di carta perforata, e da allora ha programmato. Dopo oltre 30 anni nel settore IT, ora è un giornalista tecnologico a tempo pieno. Durante la sua carriera ha lavorato come programmatore freelance, manager di un team internazionale di sviluppo software, project manager di servizi IT e, più recentemente, come Data Protection Officer. I suoi scritti sono stati pubblicati da howtogeek.com, cloudavvyit.com, itenterpriser.com e opensource.com. Dave è un evangelista di Linux e un sostenitore dell'open source.
Leggi la biografia completa