Les mots de passe sont la pierre angulaire de la sécurité des comptes. Nous allons vous montrer comment réinitialiser les mots de passe, définir des périodes d'expiration de mot de passe et appliquer les modifications de mot de passe sur votre réseau Linux.
Le mot de passe existe depuis presque 60 années
Depuis le milieu des années 90, nous montrons aux ordinateurs que nous sommes qui nous disons être. 1960, lors de la première saisie du mot de passe. La nécessité étant la mère de l'invention, les Système de multipropriété compatible développé dans le Massachusetts Institute of Technology J'avais besoin d'un moyen d'identifier différentes personnes dans le système. J'avais aussi besoin d'empêcher les gens de voir les fichiers des autres.
Fernando J. Attacher a proposé un schéma qui attribuait un nom d'utilisateur unique à chaque personne. Pour prouver que quelqu'un était bien celui qu'il prétendait être, vous deviez utiliser un mot de passe privé et personnel pour accéder à votre compte.
Le problème avec les mots de passe, c'est qu'ils fonctionnent comme une clé. Toute personne possédant une clé peut l'utiliser. Si quelqu'un trouve, devinez ou découvrez votre mot de passe, cette personne peut accéder à votre compte. Jusqu'à ce que authentification multifacteur est universellement disponible, le mot de passe est la seule chose qui garde les personnes non autorisées (acteurs de la menace, en langage de cybersécurité) hors de votre système.
Connexions à distance effectuées par Secure Shell (SSH) peut être configuré pour utiliser des clés SSH au lieu de mots de passe, Et c'est super. Cependant, c'est juste une méthode de connexion et ne couvre pas les connexions locales.
Clairement, la gestion des mots de passe est vitale, tout comme gérer les personnes qui utilisent ces mots de passe.
EN RELATION: Comment créer et installer des clés SSH à partir du shell Linux
L'anatomie d'un mot de passe
De toute façon, Qu'est-ce qu'un bon mot de passe? Bon, un bon mot de passe doit avoir tous les attributs suivants:
- Il est impossible de deviner ou de découvrir.
- Ne l'a utilisé nulle part ailleurs.
- n'a pas été impliqué dans un Fuite de données.
Les Ils m'ont trompé? (HIBP) contient plus de 10 1 milliard de jeux d'informations d'identification violés. Avec des chiffres si élevés, quelqu'un d'autre a probablement utilisé le même mot de passe que vous. Cela signifie que votre mot de passe pourrait être dans la base de données, bien que ce ne soit pas son compte qui a été violé.
Si votre mot de passe se trouve sur le site Web HIBP, cela signifie qu'il est sur les listes de mots de passe des acteurs de la menace. attaque par force brute et dictionnaire outils qu'ils utilisent lorsqu'ils essaient d'ouvrir un compte.
Un mot de passe vraiment aléatoire (comme 4HW @ HpJDBr% * Poids @ # b ~ aP) est pratiquement invulnérable, mais, bien sûr, je ne me souviendrais jamais d'elle. Nous vous recommandons fortement d'utiliser un gestionnaire de mots de passe pour les comptes en ligne. Ils génèrent des mots de passe complexes et aléatoires pour tous vos comptes en ligne, et vous n'avez pas besoin de vous en souvenir: le gestionnaire de mots de passe vous fournit le mot de passe correct.
Pour les comptes locaux, chaque personne doit générer son propre mot de passe. Ils devront également savoir ce qui est un mot de passe acceptable et ce qui ne l'est pas.. Ils devront leur dire de ne pas réutiliser les mots de passe sur d'autres comptes, et ainsi de suite.
Ces informations se trouvent généralement dans la politique de mot de passe d'une organisation. Demander aux gens d'utiliser un nombre minimum de caractères, mélanger des lettres majuscules et minuscules, inclure des symboles et des signes de ponctuation, etc.
Cependant, d'accord avec un nouveau rôler d'une équipe dans L'université de Carnegie Mellon, Toutes ces astuces ajoutent peu ou rien à la force d'un mot de passe. Les chercheurs ont découvert que les deux facteurs clés pour la force du mot de passe sont qu'ils ont au moins 12 personnages assez longs et forts. Ils ont mesuré la force des mots de passe à l'aide d'une série de programmes pour cracker des logiciels, techniques statistiques et réseaux de neurones.
Un minimum de 12 les personnages peuvent sembler écrasants au premier abord. Cependant, ne pense pas en termes de mot de passe, mais une phrase secrète de trois ou quatre mots sans rapport séparés par la ponctuation.
Par exemple, les Vérificateur de mot de passe expert dit qu'il faudrait 42 minutes pour faire une pause “chicago99”, mais 400 milliards d’années à briser “cheminée.purple.bag”. Il est également facile à retenir et à écrire, et ne contient que 18 personnages.
EN RELATION: Pourquoi devriez-vous utiliser un gestionnaire de mots de passe et comment commencer
Examen de la configuration actuelle
Avant de changer tout ce qui concerne le mot de passe d'une personne, il est sage de jeter un oeil à votre configuration actuelle. Avec lui passwd commander, tu peux vérifiez vos paramètres actuels avec son -S option (Etat). Notez que vous devrez également utiliser sudo avec passwd si vous travaillez avec les paramètres de mot de passe de quelqu'un d'autre.
Nous écrivons ce qui suit:
sudo passwd -S mary
Une seule ligne d'informations est imprimée dans la fenêtre du terminal, comme il est montré dans ce qui suit.
Vous verrez les informations suivantes (de gauche à droite) dans cette courte réponse:
- Le nom de connexion de la personne.
- L'un des trois indicateurs possibles suivants apparaît ici:
- PAG: Indique que le compte a un mot de passe valide et fonctionnel.
- L: Cela signifie que le compte a été verrouillé par le propriétaire du compte root.
- NOTAIRE PUBLIC: Aucun mot de passe n'a été défini.
- La date à laquelle le mot de passe a été modifié pour la dernière fois.
- Âge minimum du mot de passe: La durée minimale (en jours) ce qui doit s'écouler entre les réinitialisations de mot de passe effectuées par le propriétaire du compte. Cependant, le propriétaire du compte root peut toujours changer le mot de passe de n'importe qui. Si cette valeur est 0 (zéro), aucune restriction sur la fréquence des changements de mot de passe.
- Âge maximal du mot de passe: Le titulaire du compte est invité à changer son mot de passe lorsqu'il atteint cet âge. Cette valeur est donnée en jours, donc une valeur de 99,999 signifie que le mot de passe n'expire jamais.
- Période d'avertissement de changement de mot de passe: Si un âge maximum du mot de passe s'applique, le propriétaire du compte recevra des rappels pour changer son mot de passe. Le premier expédiera le nombre de jours indiqué ici avant la date de réinitialisation.
- Période d'inactivité du mot de passe: Si quelqu'un n'accède pas au système pendant une période qui chevauche la date limite de réinitialisation du mot de passe, le mot de passe de cette personne ne sera pas modifié. Cette valeur indique combien de jours la période de grâce suit la date d'expiration du mot de passe. Si le compte reste inactif ce nombre de jours après l'expiration d'un mot de passe, Le compte est bloqué. Une valeur de -1 désactiver le délai de grâce.
Définir un âge maximal pour le mot de passe
Pour définir une période de réinitialisation du mot de passe, vous pouvez utiliser le -x (jours maximum) option avec un nombre de jours. Tu ne laisses pas d'espace entre -x et les chiffres, donc je l'écrirais comme suit:
sudo passwd -x45 mary
On nous dit que la valeur d'expiration a changé, comme il est montré dans ce qui suit.
Utilisez le -S (Etat) pour vérifier que la valeur est maintenant 45:
sudo passwd -S mary
À présent, au 45 jours, un nouveau mot de passe doit être défini pour ce compte. Les rappels commenceront sept jours avant cela. Si un nouveau mot de passe n'est pas défini à temps, ce compte sera bloqué immédiatement.
Appliquer un changement de mot de passe immédiat
Vous pouvez également utiliser une commande pour que les autres utilisateurs de votre réseau aient à changer leur mot de passe la prochaine fois qu'ils se connecteront.. Pour faire ceci, doit utiliser le -e (expirer) option, de la manière suivante:
sudo passwd -e marie
Ensuite, on nous dit que les informations d'expiration du mot de passe ont changé.
Vérifions avec le -S option et voir ce qui s'est passé:
sudo passwd -S mary
La date du dernier changement de mot de passe est fixée au premier jour de 1970. La prochaine fois que cette personne essaiera de se connecter, vous devrez changer votre mot de passe. Ils doivent également fournir leur mot de passe actuel avant de pouvoir en saisir un nouveau..
Dois-je imposer les changements de mot de passe?
Forcer les gens à changer régulièrement leurs mots de passe relevait du bon sens. C'était l'une des étapes de sécurité de routine pour la plupart des installations et était considérée comme une bonne pratique commerciale.
La pensée est maintenant le pôle opposé. Au Royaume-Uni, Centre national de cybersécurité conseille fortement contre l'application des renouvellements périodiques des mots de passe, et le Institut national des normes et de la technologie aux États-Unis est d'accord. Les deux organisations recommandent d'appliquer un changement de mot de passe uniquement si vous savez ou soupçonnez qu'un mot de passe existant est connu des autres.
Forcer les gens à changer leurs mots de passe devient monotone et encourage les mots de passe faibles. Les gens commencent généralement à réutiliser un mot de passe de base avec une date ou un autre numéro marqué. Ou ils les écriront parce qu'ils doivent les changer si souvent qu'ils ne peuvent pas s'en souvenir.
Les deux organisations que nous avons mentionnées ci-dessus recommandent les directives suivantes pour la sécurité des mots de passe:
- Utiliser un gestionnaire de mots de passe: Pour les comptes locaux et en ligne.
- Activer l'authentification à deux facteurs: Chaque fois que c'est une option, úsela.
- Utiliser une phrase secrète forte: Une excellente alternative pour les comptes qui ne fonctionnent pas avec un gestionnaire de mots de passe. Trois mots ou plus séparés par des signes de ponctuation ou des symboles sont un bon modèle à suivre.
- Ne jamais réutiliser un mot de passe: Évitez d'utiliser le même mot de passe que vous utilisez pour un autre compte, et n'utilisez surtout pas celui qui apparaît dans Ils m'ont trompé?.
Les conseils ci-dessus vous permettront d'établir un moyen sécurisé d'accéder à vos comptes. Une fois ces directives en place, les remplir. Pourquoi changer votre mot de passe s'il est fort et sécurisé? S'il tombe entre de mauvaises mains, ou soupçonner qu'il a, peut le changer.
Parfois, cependant, cette décision est hors de vos mains. Si les pouvoirs appliqués au mot de passe changent, n'a pas beaucoup d'options. Vous pouvez défendre votre cause et faire connaître votre position, mais à moins que ce ne soit le patron, vous devrez suivre la politique de l'entreprise.
EN RELATION: Devriez-vous changer vos mots de passe régulièrement?
La commande chage
Vous pouvez utiliser Les chage commander pour modifier les paramètres liés à l'expiration du mot de passe. Cette commande est nommée d’après “changer le vieillissement”. C'est comme le passwd commande avec éléments de création de mot de passe supprimés.
Les -l L'option (prêt) présente les mêmes informations que le passwd -S commander, mais de manière plus conviviale.
Nous écrivons ce qui suit:
sudo chage -l eric
Une autre touche intéressante est que vous pouvez définir une date d'expiration de compte en utilisant le -E (expiration) option. Nous passerons une date (au format année-mois-date) fixer une date d'expiration pour le 30 novembre 2020. À cette date, le compte sera bloqué.
Nous écrivons ce qui suit:
sudo chage eric -E 2020-11-30
Ensuite, Nous avons écrit ce qui suit pour nous assurer que ce changement a été effectué:
sudo chage -l eric
Nous voyons que la date d’expiration du compte a changé de “jamais” Al 30 novembre 2020.
Pour définir une période d'expiration du mot de passe, vous pouvez utiliser le -M (jours maximum), ainsi que le nombre maximum de jours pendant lesquels un mot de passe peut être utilisé avant de devoir être modifié.
Nous écrivons ce qui suit:
sudo chage -M 45 Marie
Nous écrivons ce qui suit, en utilisant le -l (prêt) option, pour voir l'effet de notre commande:
sudo chage -l mary
La date d'expiration du mot de passe est maintenant définie sur 45 jours à compter de la date à laquelle nous l'avons fixé, Quoi, comme on le montre, sera le 8 de décembre à 2020.
Faire des changements de mot de passe pour tout le monde sur un réseau
Lorsque les comptes sont créés, un ensemble de valeurs par défaut est utilisé pour les mots de passe. Vous pouvez définir quelles sont les valeurs par défaut pour les jours minimum, maximum et avertissement. Alors, ceux-ci sont enregistrés dans un fichier appelé “/etc/login.defs”.
Vous pouvez taper ce qui suit pour ouvrir ce fichier dans gedit:
sudo gedit /etc/login.defs
Faites défiler jusqu'aux contrôles d'âge du mot de passe.
Vous pouvez les modifier selon vos besoins, enregistrez les modifications puis fermez l'éditeur. La prochaine fois que vous créerez un compte utilisateur, ces valeurs par défaut seront appliquées.
Si vous souhaitez modifier toutes les dates d’expiration des mots de passe pour les comptes d’utilisateurs existants, vous pouvez facilement le faire avec un script. Tapez simplement ce qui suit pour ouvrir le gedit et créez un fichier nommé “password-date.sh”:
sudo gedit password-date.sh
Ensuite, copiez le texte suivant dans votre éditeur, enregistrer le fichier, puis fermer gedit:
#!/bin/bash reset_days=28 for username in $(ls / maison) do sudo chage $username -M $reset_days echo $username password expiry changed to $reset_days done
cela changera le nombre maximal de jours pour chaque compte d’utilisateur en 28 et, donc, la fréquence de réinitialisation du mot de passe. Vous pouvez ajuster la valeur de l' reset_days variable à adapter.
Premier, nous écrivons ce qui suit pour que notre script soit exécutable:
chmod +x password-date.sh
À présent, nous pouvons écrire ce qui suit pour exécuter notre script:
sudo ./password-date.sh
Alors, chaque compte est traité, comme il est montré dans ce qui suit.
Nous écrivons ce qui suit pour vérifier le compte de “Marie”:
sudo changer -l marie
La valeur maximale des jours a été fixée à 28, et on nous dit que le 21 novembre 2020. Vous pouvez également facilement modifier le script et en ajouter d'autres chage O passwd commandes.
La gestion des mots de passe est quelque chose à prendre au sérieux. À présent, vous avez les outils dont vous avez besoin pour prendre le contrôle.
setTimeout(fonction(){
!fonction(F,b,e,v,m,t,s)
{si(f.fbq)revenir;n=f.fbq=fonction(){n.callMethod?
n.callMethod.apply(m,arguments):n.queue.push(arguments)};
si(!f._fbq)f._fbq=n;n.push=n;n.chargé=!0;n.version=’2.0′;
n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];
s.parentNode.insertAvant(t,s) } (window, document,'scénario',
'https://connect.facebook.net/en_US/fbevents.js’);
fbq('init', « 335401813750447 »);
fbq('Piste', « Page View »);
},3000);
