Parolele sunt cheia de boltă a securității contului. Vă vom arăta cum să resetați parolele, să setați perioadele de expirare a parolelor și să impuneți modificările parolei în rețeaua dvs. Linux.
Cuprins
Parola există de aproape 60 de ani
Le-am dovedit computerelor că suntem ceea ce spunem că suntem încă de la mijlocul anilor 1960, când parola a fost introdusă pentru prima dată. Necesitatea fiind mama invenției, cel Sistem compatibil de partajare a timpului dezvoltat la Institutul de tehnologie din Massachusetts avea nevoie de o modalitate de a identifica diferite persoane din sistem. De asemenea, trebuia să împiedice oamenii să-și vadă fișierele.
Fernando J. Corbató a propus o schemă care aloca un nume de utilizator unic fiecărei persoane. Pentru a dovedi că cineva este cine spunea că este, a trebuit să folosească o parolă privată, personală pentru a-și accesa contul.
Problema cu parolele este că acestea funcționează la fel ca o cheie. Oricine are o cheie o poate folosi. Dacă cineva găsește, ghicește sau își dă seama de parola dvs., persoana respectivă vă poate accesa contul. Pana cand autentificare multifactor este disponibilă universal, parola este singurul lucru care păstrează persoanele neautorizate (actori de amenințare, în ceea ce privește securitatea cibernetică) din sistemul dvs.
Conexiunile de la distanță realizate de un Secure Shell (SSH) pot fi configurate pentru a utiliza chei SSH în loc de parole și asta este grozav. Cu toate acestea, aceasta este o singură metodă de conectare și nu acoperă conectările locale.
În mod clar, gestionarea parolelor este vitală, la fel ca și gestionarea persoanelor care folosesc acele parole.
Anatomia unei parole
Ce face o parolă bună, oricum? Ei bine, o parolă bună ar trebui să aibă toate următoarele atribute:
Este imposibil de ghicit sau de înțeles.
Nu l-ai folosit altundeva.
Nu a fost implicat într-o încălcarea datelor.
The Am fost Pwned (HIBP) site-ul web conține peste 10 miliarde de seturi de acreditări încălcate. Cu cifre atât de mari, sunt șansele ca altcineva să fi folosit aceeași parolă. Aceasta înseamnă că parola dvs. ar putea fi în baza de date, chiar dacă nu contul dvs. a fost încălcat.
Dacă parola dvs. se află pe site-ul web HIBP, aceasta înseamnă că se află pe listele de amenințări cu parole. atac de forță brută și de dicționar instrumentele folosite atunci când încearcă să spargă un cont.
O parolă cu adevărat aleatorie (cum ar fi [email protected]%*[email protected]#b~aP) este practic invulnerabil, dar, bineînțeles, nu ți-o vei aminti niciodată. Vă recomandăm să utilizați un manager de parole pentru conturile online. Acestea generează parole complexe, aleatorii pentru toate conturile dvs. online și nu trebuie să le amintiți – managerul de parole vă oferă parola corectă.
Pentru conturile locale, fiecare persoană trebuie să-și genereze propria parolă. De asemenea, vor trebui să știe ce este o parolă acceptabilă și ce nu. Va trebui să li se spună să nu refolosească parolele pe alte conturi și așa mai departe.
Aceste informații se află de obicei în Politica de parole a unei organizații. Le instruiește pe oameni să folosească un număr minim de caractere, să amestece litere mari și mici, să includă simboluri și semne de punctuație și așa mai departe.
Cu toate acestea, conform un hârtie nou-nouțăr dintr-o echipă la Universitatea Carnegie Mellon, toate aceste trucuri adaugă puțin sau nimic la robustețea unei parole. Cercetătorii au descoperit că cei doi factori cheie pentru robustețea parolei sunt că au cel puțin 12 caractere și sunt suficient de puternice. Ei au măsurat puterea parolei folosind o serie de programe software de spargere, tehnici statistice și rețele neuronale.
Un minim de 12 caractere poate suna descurajant la început. Cu toate acestea, nu gândiți în termeni de parolă, ci mai degrabă, de o expresie de acces de trei sau patru cuvinte care nu au legătură, separate prin semne de punctuație.
De exemplu, cel Expert Password Checker a spus că va dura 42 de minute pentru a sparge „chicago99”, dar 400 de miliarde de ani pentru a sparge „chimney.purple.bag”. De asemenea, este ușor de reținut și de tastat și conține doar 18 caractere.
Revizuirea setărilor curente
Înainte de a schimba ceva legat de parola unei persoane, este prudent să aruncați o privire asupra setărilor actuale ale acesteia. Cu comanda passwd, puteți revizuiți setările lor curente cu opțiunea -S (stare). Rețineți că, de asemenea, va trebui să utilizați sudo cu passwd dacă lucrați cu setările de parolă ale altcuiva.
Introducem următoarele:
sudo passwd -S mary
O singură linie de informații este tipărită în fereastra terminalului, așa cum se arată mai jos.
Vedeți următoarele informații (de la stânga la dreapta) în acel răspuns scurt:
Numele de conectare al persoanei.
Unul dintre următorii trei indicatori posibili apare aici:
P: Indică faptul că contul are o parolă validă și funcțională.
L: Înseamnă că contul a fost blocat de proprietarul contului root.
NP: Nu a fost setată o parolă.
Data ultimei modificări a parolei.
Vârsta minimă a parolei: perioada minimă de timp (în zile) care trebuie să treacă între resetările parolei efectuate de proprietarul contului. Cu toate acestea, proprietarul contului root poate schimba oricând parola oricui. Dacă această valoare este 0 (zero), nu există o restricție privind frecvența modificărilor parolei.
Vârsta maximă a parolei: proprietarului contului i se solicită să-și schimbe parola când acesta împlinește această vârstă. Această valoare este dată în zile, deci o valoare de 99.999 înseamnă că parola nu expiră niciodată.
Perioada de avertizare privind modificarea parolei: dacă se aplică o vârstă maximă a parolei, proprietarul contului va primi mementouri pentru a-și schimba parola. Primul dintre acestea va fi trimis cu numărul de zile afișat aici înainte de data de resetare.
Perioada de inactivitate pentru parolă: dacă cineva nu accesează sistemul pentru o perioadă de timp care se suprapune cu termenul limită de resetare a parolei, parola acestei persoane nu va fi schimbată. Această valoare indică câte zile urmează perioada de grație după data de expirare a parolei. Dacă contul rămâne inactiv în acest număr de zile după expirarea unei parole, contul este blocat. O valoare de -1 dezactivează perioada de grație.
Setarea unei vechime maxime a parolei
Pentru a seta o perioadă de resetare a parolei, puteți utiliza opțiunea -x (maximum de zile) cu un număr de zile. Nu lăsați un spațiu între -x și cifre, așa că l-ați tasta după cum urmează:
sudo passwd -x45 mary
Ni se spune că valoarea de expirare a fost modificată, așa cum se arată mai jos.
Utilizați opțiunea -S (stare) pentru a verifica dacă valoarea este acum 45:
sudo passwd -S mary
Acum, în 45 de zile, trebuie setată o nouă parolă pentru acest cont. Mementourile vor începe cu șapte zile înainte de aceasta. Dacă o nouă parolă nu este setată la timp, acest cont va fi blocat imediat.
Aplicarea unei modificări imediate a parolei
De asemenea, puteți utiliza o comandă, astfel încât ceilalți din rețeaua dvs. să fie nevoiți să-și schimbe parolele data viitoare când se conectează. Pentru a face acest lucru, ați folosi opțiunea -e (expire), după cum urmează:
sudo passwd -e mary
Apoi ni se spune că informațiile despre expirarea parolei s-au schimbat.
Să verificăm cu opțiunea -S și să vedem ce s-a întâmplat:
sudo passwd -S mary
Data ultimei modificări a parolei este setată la prima zi a anului 1970. Data viitoare când această persoană încearcă să se autentifice, va trebui să-și schimbe parola. De asemenea, trebuie să furnizeze parola curentă înainte de a putea introduce una nouă.
Ar trebui să impuneți modificările parolei?
Forțarea oamenilor să-și schimbe parolele în mod regulat era de bun simț. A fost unul dintre pașii de securitate de rutină pentru majoritatea instalațiilor și considerat o bună practică de afaceri.
Gândirea de acum este polar opus. În Marea Britanie, Centrul Național de Securitate Cibernetică sfătuiește cu tărie împotriva impunerii reînnoirilor regulate de parole, si Institutul Național de Standarde și Tehnologie în SUA este de acord. Ambele organizații recomandă aplicarea unei modificări a parolei numai dacă știți sau bănuiți că există una existentă cunoscut de alții.
Forțarea oamenilor să-și schimbe parolele devine monoton și încurajează parolele slabe. Oamenii încep de obicei să refolosească o parolă de bază cu o dată sau alt număr etichetat pe ea. Sau, le vor nota pentru că trebuie să le schimbe atât de des, încât nu le pot aminti.
Cele două organizații pe care le-am menționat mai sus recomandă următoarele reguli pentru securitatea parolei:
Utilizați un manager de parole: atât pentru conturile online, cât și pentru cele locale.
Activați autentificarea cu doi factori: oriunde aceasta este o opțiune, utilizați-o.
Utilizați o expresie de acces puternică: o alternativă excelentă pentru acele conturi care nu vor funcționa cu un manager de parole. Trei sau mai multe cuvinte separate prin semne de punctuație sau simboluri este un șablon bun de urmat.
Nu reutilizați niciodată o parolă: evitați să utilizați aceeași parolă pe care o utilizați pentru alt cont și cu siguranță nu folosiți una listată pe Am fost Pwned.
Sfaturile de mai sus vă vor permite să stabiliți un mijloc sigur de a vă accesa conturile. Odată ce ai stabilit aceste linii directoare, rămâi cu ele. De ce să vă schimbați parola dacă este puternică și sigură? Dacă cade în mâinile greșite – sau bănuiți că a făcut-o – o puteți schimba atunci.
Uneori, această decizie scapă însă din mâinile tale. Dacă se schimbă puterea de aplicare a parolei, nu mai aveți de ales. Puteți să vă pledați cazul și să vă faceți cunoscută poziția, dar dacă nu sunteți șeful, va trebui să urmați politica companiei.
Comanda de schimbare
Poți să folosești comanda chage pentru a modifica setările privind vechimea parolei. Această comandă își are numele de la „schimbați îmbătrânirea”. Este ca și comanda passwd cu elementele de creare a parolei eliminate.
Opțiunea -l (listă) prezintă aceleași informații ca și comanda passwd -S, dar într-un mod mai prietenos.
Introducem următoarele:
sudo chage -l eric
O altă atingere bună este că puteți seta o dată de expirare a contului utilizând opțiunea -E (expirare). Vom transmite o dată (în formatul an-lună-dat) pentru a seta o dată de expirare de 30 noiembrie 2020. La acea dată, contul va fi blocat.
Introducem următoarele:
sudo chage eric -E 2020-11-30
Apoi, introducem următoarele pentru a ne asigura că această modificare a fost făcută:
sudo chage -l eric
Vedem că data de expirare a contului s-a schimbat de la „niciodată” la 30 noiembrie 2020.
Pentru a seta o perioadă de expirare a parolei, puteți utiliza opțiunea -M (maximum de zile), împreună cu numărul maxim de zile pe care o parolă poate fi folosită înainte de a fi schimbată.
Introducem următoarele:
sudo chage -M 45 mary
Introducem următoarele, folosind opțiunea -l (listă), pentru a vedea efectul comenzii noastre:
sudo chage -l mary
Data de expirare a parolei este acum setată la 45 de zile de la data la care am stabilit-o, care, după cum ni se arată, va fi 8 decembrie 2020.
Efectuarea modificărilor parolei pentru toată lumea dintr-o rețea
Când sunt create conturile, se utilizează un set de valori implicite pentru parole. Puteți defini care sunt valorile implicite pentru zilele minime, maxime și de avertizare. Acestea sunt apoi păstrate într-un fișier numit „/etc/login.defs”.
Puteți introduce următoarele pentru a deschide acest fișier în gedit:
sudo gedit /etc/login.defs
Derulați la comenzile privind vechimea parolei.
Puteți să le editați în funcție de cerințele dvs., să salvați modificările și apoi să închideți editorul. Data viitoare când creați un cont de utilizator, aceste valori implicite vor fi aplicate.
Dacă doriți să schimbați toate datele de expirare a parolelor pentru conturile de utilizator existente, puteți face acest lucru cu ușurință cu un script. Trebuie doar să tastați următoarele pentru a deschide editorul gedit și a crea un fișier numit „password-date.sh”:
sudo gedit password-date.sh
Apoi, copiați următorul text în editor, salvați fișierul și apoi închideți gedit:
#!/bin/bash reset_days=28 for username in $(ls /home) do sudo chage $username -M $reset_days echo $username password expiry changed to $reset_days done
Acest lucru va schimba numărul maxim de zile pentru fiecare cont de utilizator la 28 și, prin urmare, frecvența de resetare a parolei. Puteți ajusta valoarea variabilei reset_days pentru a se potrivi.
Mai întâi, introducem următoarele pentru a face scriptul nostru executabil:
chmod +x password-date.sh
Acum, putem tasta următoarele pentru a rula scriptul nostru:
sudo ./password-date.sh
Fiecare cont este apoi procesat, după cum se arată mai jos.
Introducem următoarele pentru a verifica contul pentru „mary”:
sudo change -l mary
Valoarea maximă a zilelor a fost setată la 28 și ni s-a spus că va cădea pe 21 noiembrie 2020. De asemenea, puteți modifica cu ușurință scriptul și puteți adăuga mai multe comenzi chage sau passwd.
Gestionarea parolelor este ceva care trebuie luat în serios. Acum, aveți instrumentele de care aveți nevoie pentru a prelua controlul.