So zwingen Sie Benutzer, ihre Kennwörter unter Linux zu ändern

Passwörter sind der Eckpfeiler der Kontosicherheit. Wir zeigen Ihnen, wie Sie Passwörter zurücksetzen, Legen Sie Kennwortablauffristen fest und erzwingen Sie Kennwortänderungen in Ihrem Linux-Netzwerk.

Das Passwort gibt es schon seit fast 60 Jahre

Seit Mitte der 90er Jahre zeigen wir Computern, dass wir das sind, was wir zu sein behaupten. 1960, bei der ersten Passworteingabe. Not macht erfinderisch, das Kompatibles Timesharing-System entwickelt in der Massachusetts Institute of Technology Ich brauchte eine Möglichkeit, verschiedene Personen im System zu identifizieren. Ich musste auch verhindern, dass die Leute die Dateien der anderen sehen.

Fernando J. Binden schlug ein Schema vor, das jeder Person einen eindeutigen Benutzernamen zuweist. Um zu beweisen, dass jemand der war, für den er sich ausgab, Sie mussten ein privates und persönliches Passwort verwenden, um auf Ihr Konto zuzugreifen.

Das Problem mit Passwörtern ist, dass sie wie ein Schlüssel funktionieren. Jeder, der einen Schlüssel hat, kann ihn benutzen. Wenn jemand findet, errate oder finde dein Passwort, diese Person kann auf Ihr Konto zugreifen. bis um Multi-Faktor-Authentifizierung ist universell verfügbar, Passwort ist das einzige, was Unbefugte aufhält (Bedrohungsakteure, in der Sprache der Cybersicherheit) aus deinem System.

Remote-Verbindungen durch Secure Shell (SSH) kann so konfiguriert werden, dass SSH-Schlüssel anstelle von Passwörtern verwendet werden, Und das ist großartig. jedoch, das ist nur eine Verbindungsmethode und deckt keine lokalen Anmeldungen ab.

Deutlich, Passwortverwaltung ist wichtig, genau wie die Verwaltung der Personen, die diese Passwörter verwenden.

VERBUNDEN: So erstellen und installieren Sie SSH-Schlüssel aus der Linux-Shell

Die Anatomie eines Passworts

Auf jeden Fall, Was macht ein gutes Passwort aus? Gut, ein gutes Passwort muss alle der folgenden Attribute haben:

• Es ist unmöglich zu erraten oder herauszufinden.
• Habe es noch nirgendwo verwendet.
• War nicht an einem beteiligt Datenlecks.

das Sie haben mich betrogen? (HIBP) enthält mehr als 10 1 Milliarde Zugangsdatensätze verletzt. Bei so hohen Zahlen, jemand anderes hat wahrscheinlich das gleiche Passwort wie du verwendet. Dies bedeutet, dass Ihr Passwort in der Datenbank sein könnte, obwohl es nicht sein Konto war, das verletzt wurde.

Wenn sich Ihr Passwort auf der HIBP-Website befindet, das bedeutet, dass es auf den Passwortlisten der Bedrohungsakteure steht. Brute-Force- und Wörterbuchangriff Tools, die sie verwenden, wenn sie versuchen, ein Konto zu eröffnen.

Ein wirklich zufälliges Passwort (als 4HW @ HpJDBr% * Gew. @ # b ~ aP) ist praktisch unverwundbar, aber, selbstverständlich, Ich würde mich nie an sie erinnern. Wir empfehlen dringend, einen Passwort-Manager für Online-Konten zu verwenden. Sie generieren komplexe und zufällige Passwörter für alle Ihre Online-Konten, und du musst sie dir nicht merken: Passwort-Manager liefert Ihnen das richtige Passwort.

Für lokale Konten, jede Person muss ihr eigenes Passwort generieren. Sie müssen auch wissen, was ein akzeptables Passwort ist und was nicht.. Sie müssen ihnen sagen, dass sie Passwörter für andere Konten nicht wiederverwenden dürfen, und so weiter.

Diese Informationen sind normalerweise in der Passwortrichtlinie einer Organisation enthalten. Weisen Sie die Leute an, eine Mindestanzahl von Zeichen zu verwenden, Groß- und Kleinbuchstaben mischen, Symbole und Satzzeichen einfügen, etc.

jedoch, in Übereinstimmung mit eine neue Roller eines Teams in Carnegie Mellon Universität, All diese Tricks tragen wenig oder gar nichts zur Stärke eines Passworts bei. Die Forscher fanden heraus, dass die beiden Schlüsselfaktoren für die Passwortstärke darin bestehen, dass sie mindestens 12 Charaktere lang und stark genug. Sie maßen die Stärke von Passwörtern mit einer Reihe von Programmen, um Software zu knacken, statistische Techniken und neuronale Netze.

Ein Minimum von 12 Charaktere mögen auf den ersten Blick überwältigend erscheinen. jedoch, denke nicht in einem passwort, aber eine Passphrase von drei oder vier nicht zusammenhängenden Wörtern, die durch Satzzeichen getrennt sind.

Beispielsweise, das Passwort-Checker für Experten sagte, es würde dauern 42 Minuten pausen “chicago99”, aber 400 Milliarden Jahre zu brechen “kamin.lila.tasche”. Es ist auch leicht zu merken und zu schreiben, und enthält nur 18 Zeichen.

VERBUNDEN: Warum Sie einen Passwort-Manager verwenden sollten und wie Sie loslegen können

Überprüfung der aktuellen Konfiguration

Bevor Sie etwas ändern, das mit dem Passwort einer Person zu tun hat, Es ist ratsam, einen Blick auf Ihre aktuelle Konfiguration zu werfen. Mit dem passwd Befehl, Sie können Überprüfen Sie Ihre aktuellen Einstellungen mit seinem -S Möglichkeit (Zustand). Beachten Sie, dass Sie auch verwenden müssen sudo mit passwd wenn Sie mit den Passworteinstellungen einer anderen Person arbeiten.

Wir schreiben folgendes:

sudo passwd -S mary

Im Terminalfenster wird eine einzelne Informationszeile gedruckt, wie im Folgenden gezeigt.

Sie sehen die folgenden Informationen (von links nach rechts) in dieser kurzen Antwort:

• Der Login-Name der Person.
• Hier erscheint einer der folgenden drei möglichen Indikatoren:
  • PAG: Zeigt an, dass das Konto über ein gültiges und funktionsfähiges Passwort verfügt.
  • L: Dies bedeutet, dass das Konto vom Besitzer des Root-Kontos gesperrt wurde.
  • ÖFFENTLICHER NOTAR: Es wurde kein Passwort festgelegt.
• Das Datum, an dem das Passwort zuletzt geändert wurde.
• Mindestalter des Passworts: Die Mindestdauer (in Tagen) Was sollte zwischen den vom Kontoinhaber durchgeführten Passwort-Resets vergehen?. jedoch, Der Besitzer des Root-Kontos kann jederzeit das Passwort von jedem ändern. Ist dieser Wert 0 (Null), keine Einschränkung der Häufigkeit von Passwortänderungen.
• Maximales Passwortalter: Der Kontoinhaber wird aufgefordert, sein Passwort zu ändern, wenn er dieses Alter erreicht. Dieser Wert wird in Tagen angegeben, also ein Wert von 99,999 bedeutet, dass das Passwort nie abläuft.
• Warnzeitraum für Passwortänderung: Wenn ein maximales Passwortalter gilt, Der Kontoinhaber wird daran erinnert, sein Passwort zu ändern. Der erste versendet die hier angezeigte Anzahl von Tagen vor dem Rücksetzdatum.
• Zeitraum der Passwort-Inaktivität: Wenn jemand für einen Zeitraum, der die Frist für das Zurücksetzen des Passworts überschreitet, nicht auf das System zugreift, Das Passwort dieser Person wird nicht geändert. Dieser Wert gibt an, wie viele Tage der Kulanzzeitraum nach dem Ablaufdatum des Passworts liegt. Wenn das Konto diese Anzahl von Tagen nach Ablauf eines Passworts inaktiv bleibt, Das Konto ist gesperrt. Ein Wert von -1 Kulanzzeit deaktivieren.

Legen Sie ein maximales Passwortalter fest

So legen Sie einen Zeitraum zum Zurücksetzen des Passworts fest, du kannst den ... benutzen -x (maximale Tage) Option mit mehreren Tagen. Du lässt kein Leerzeichen dazwischen -x und die Ziffern, also würde ich es wie folgt schreiben:

sudo passwd -x45 mary

Uns wird mitgeteilt, dass sich der Ablaufwert geändert hat, wie im Folgenden gezeigt.

Verwenden Sie die -S (Zustand) um zu überprüfen, ob der Wert jetzt ist 45:

sudo passwd -S mary

Jetzt, auf 45 Tage, für dieses Konto muss ein neues Passwort festgelegt werden. Die Erinnerungen beginnen sieben Tage vorher. Wenn nicht rechtzeitig ein neues Passwort gesetzt wird, dieses Konto wird sofort gesperrt.

Anwenden einer sofortigen Passwortänderung

Sie können auch einen Befehl verwenden, damit andere in Ihrem Netzwerk ihre Passwörter bei der nächsten Anmeldung ändern müssen.. Um dies zu tun, muss die verwenden -e (erlöschen) Möglichkeit, wie folgt:

sudo passwd -e mary

Dann wird uns mitgeteilt, dass sich die Informationen zum Ablauf des Passworts geändert haben.

Lass uns das überprüfen -S Option und sehen, was passiert ist:

sudo passwd -S mary

Das Datum der letzten Passwortänderung wird auf den ersten Tag des 1970. Das nächste Mal, wenn diese Person versucht, sich anzumelden, du musst dein passwort ändern. Außerdem müssen sie ihr aktuelles Passwort angeben, bevor sie ein neues eingeben können..

Soll ich Passwortänderungen erzwingen??

Menschen zu zwingen, ihre Passwörter regelmäßig zu ändern, war früher gesunder Menschenverstand. Dies war einer der routinemäßigen Sicherheitsschritte für die meisten Einrichtungen und wurde als gute Geschäftspraxis angesehen.

Denken ist jetzt der Gegenpol. In Großbritannien, Nationales Cybersicherheitszentrum rät dringend gegen die Anwendung regelmäßiger Passworterneuerungen, und der Nationales Institut für Standards und Technologie in den Vereinigten Staaten stimmt zu. Beide Organisationen empfehlen, eine Passwortänderung nur dann zu erzwingen, wenn Sie wissen oder vermuten, dass ein bestehendes Passwort geändert wurde von anderen bekannt.

Menschen zu zwingen, ihre Passwörter zu ändern, wird eintönig und fördert schwache Passwörter. Die Leute beginnen normalerweise, ein Basispasswort mit einem Datum oder einer anderen Nummer wiederzuverwenden. Oder sie schreiben sie auf, weil sie sie so oft ändern müssen, dass sie sich nicht mehr daran erinnern können.

Die beiden oben genannten Organisationen empfehlen die folgenden Richtlinien für die Passwortsicherheit:

• Verwenden Sie einen Passwort-Manager: Für lokale und Online-Konten.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung: Wann immer es eine Option ist, úsela.
• Verwenden Sie eine starke Passphrase: Eine ausgezeichnete Alternative für diejenigen Konten, die nicht mit einem Passwort-Manager funktionieren. Drei oder mehr Wörter, die durch Satzzeichen oder Symbole getrennt sind, sind eine gute Vorlage.
• Niemals ein Passwort wiederverwenden: Vermeiden Sie die Verwendung desselben Passworts, das Sie für ein anderes Konto verwenden, und verwenden Sie auf keinen Fall einen, der in erscheint Sie haben mich betrogen?.

Mit den obigen Tipps können Sie eine sichere Methode für den Zugriff auf Ihre Konten einrichten. Sobald Sie diese Richtlinien festgelegt haben, erfülle sie. Warum Ihr Passwort ändern, wenn es stark und sicher ist?? Wenn es in die falschen Hände gerät, oder vermuten, dass er, kann es ändern.

Manchmal, jedoch, diese Entscheidung liegt nicht in deiner Hand. Wenn die Befugnisse auf die Passwortänderung angewendet wurden, hat nicht viele möglichkeiten. Sie können Ihren Fall verteidigen und Ihre Position kundtun, aber es sei denn, es ist der Chef, Sie müssen die Unternehmensrichtlinien befolgen.

VERBUNDEN: Sollten Sie Ihre Passwörter regelmäßig ändern?

Der Wechselbefehl

Sie können verwenden das chage Befehl um Einstellungen bezüglich des Passwortablaufs zu ändern. Dieser Befehl ist benannt nach “Alterung ändern”. Es ist wie die passwd Befehl mit entfernten Elementen zur Passworterstellung.

das -l Die Option (bereit) präsentiert die gleichen Informationen wie die passwd -S Befehl, aber freundlicher.

Wir schreiben folgendes:

sudo chage -l eric

Eine weitere nette Geste ist, dass Sie ein Ablaufdatum des Kontos mit der -E (Ablauf) Möglichkeit. Wir verabreden ein Date (im Format Jahr-Monat-Datum) ein Ablaufdatum für die 30 November 2020. An diesem Datum, das Konto wird gesperrt.

Wir schreiben folgendes:

sudo chage eric -E 2020-11-30

Dann, Wir haben Folgendes geschrieben, um sicherzustellen, dass diese Änderung vorgenommen wurde:

sudo chage -l eric

Wir sehen, dass sich das Ablaufdatum des Kontos von “nie” al 30 November 2020.

So legen Sie einen Ablaufzeitraum für das Passwort fest, du kannst den ... benutzen -M (maximale Tage), zusammen mit der maximalen Anzahl von Tagen, die ein Passwort verwendet werden kann, bevor es geändert werden muss.

Wir schreiben folgendes:

sudo änderung -M 45 Maria

Wir schreiben folgendes, Verwendung der -l (bereit) Möglichkeit, um die Wirkung unseres Befehls zu sehen:

sudo chage -l mary

Das Ablaufdatum des Passworts ist jetzt auf . eingestellt 45 Tage ab dem Datum, an dem wir es festgelegt haben, Was, wie gezeigt, wird sein 8 von Dezember bis 2020.

Passwörter für alle in einem Netzwerk ändern

Wenn Konten erstellt werden, für Passwörter wird eine Reihe von Standardwerten verwendet. Sie können definieren, was die Standardwerte für die Mindesttage sind, Maximum und Warnung. Später, Diese werden in einer Datei mit dem Namen “/etc/login.defs”.

Sie können Folgendes eingeben, um diese Datei zu öffnen: gedit:

sudo gedit /etc/login.defs

Scrollen Sie nach unten zu Passwort-Alterskontrollen.

Sie können sie nach Ihren Wünschen bearbeiten, speichere die Änderungen und schließe dann den Editor. Das nächste Mal, wenn Sie ein Benutzerkonto erstellen, Diese Standardwerte werden angewendet.

Wenn Sie alle Kennwortablaufdaten für vorhandene Benutzerkonten ändern möchten, Sie können es einfach mit einem Skript tun. Geben Sie einfach Folgendes ein, um die Schaltfläche gedit Editor und erstellen Sie eine Datei mit dem Namen “password-date.sh”:

sudo gedit password-date.sh

Dann, Kopieren Sie den folgenden Text in Ihren Editor, Speichern Sie die Datei, und schließen Sie sie anschließend gedit:

#!/bin/bash

reset_days=28

for username in $(ls / Zuhause)
do
  sudo chage $username -M $reset_days
  echo $username password expiry changed to $reset_days
done

Dadurch wird die maximale Anzahl von Tagen für jedes Benutzerkonto geändert in 28 Ja, Daher, Häufigkeit des Zurücksetzens des Passworts. Sie können den Wert von anpassen reset_days variabel passend.

Zuerst, wir schreiben folgendes, damit unser Skript ausführbar ist:

chmod +x password-date.sh

Jetzt, Wir können Folgendes schreiben, um unser Skript auszuführen:

sudo ./password-date.sh

Später, jedes Konto wird bearbeitet, wie im Folgenden gezeigt.

Wir geben Folgendes ein, um das Konto von zu überprüfen “Maria”:

sudo change -l mary

Der Maximalwert von Tagen wurde auf . gesetzt 28, und uns wird gesagt, dass die 21 November 2020. Sie können das Skript auch einfach ändern und mehr hinzufügen chage Ö passwd Befehle.

---

Passwortverwaltung ist etwas ernst zu nehmen. Jetzt, Sie haben die Werkzeuge, die Sie brauchen, um die Kontrolle zu übernehmen.