Cómo obligar a los usuarios a cambiar sus contraseñas en Linux

Las contraseñas son la clave para la seguridad de la cuenta. Le mostraremos cómo restablecer las contraseñas, establecer la vencimiento de la contraseña y forzar los cambios de contraseña en su red Linux.

Las contraseñas han existido durante casi 60 años

Hemos estado demostrando a las computadoras que somos quienes decimos que somos desde mediados de la década de 1960, cuando la contraseña se introdujo por primera vez. La necesidad de ser la madre de la invención, el sistema compatible de tiempo compartido desarrollado en el Instituto de Tecnología de Massachusetts necesitaba una forma de identificar a diferentes personas en el sistema. También necesitaba una forma de evitar que las personas se vean los archivos.

Fernando H. Corbato propuso un esquema donde a cada persona se le asigna un inicio de sesión único. Para demostrar que alguien era quienes dijeron que eran, tenían que usar una contraseña personal para acceder a su cuenta.

El problema con las contraseñas es que actúan como una clave. Puede ser utilizado por cualquiera que tenga la llave. Si alguien encuentra, adivina o reconoce su contraseña, esa persona puede acceder a su cuenta. Hasta que la autenticación multifactor esté disponible universalmente, la contraseña es lo único que mantiene fuera de su sistema fuera de su sistema.

Las conexiones remotas que utilizan Secure Shell (SSH) se pueden configurar para usar las teclas SSH en lugar de las contraseñas, y esto es genial. Sin embargo, este es solo un método de conexión, y no se extiende al inicio de sesión local.

Obviamente, administrar contraseñas es vital, al igual que administrar a las personas que usan esas contraseñas.

Anatomía de contraseña

¿Qué hace que una contraseña sea buena en primer lugar? Bueno, una buena contraseña debe tener todos los siguientes atributos:

Imposible de adivinar o adivinar. No lo has usado en ningún otro lugar. No estuvo involucrado en la violación de datos.

En he sido persuadido (HIBP) contiene más de 10 mil millones de conjuntos de credenciales comprometidas. Con números tan altos, existe la posibilidad de que alguien más use la misma contraseña que usted. Esto significa que su contraseña podría estar en la base de datos, incluso si no fuera su cuenta la que fue pirateada.

Si su contraseña está en el sitio web de HIBP, eso significa que está en las listas de los atacantes. La fuerza bruta y el ataque del diccionario son herramientas que se usan cuando intentan piratear una cuenta.

Una contraseña verdaderamente aleatoria (por ejemplo, 4HW @ hpjdbr% * wt @ # b~ap) es prácticamente invulnerable, pero, por supuesto, nunca lo recordará. Recomendamos encarecidamente que use un administrador de contraseñas para cuentas en línea. Generan contraseñas aleatorias complejas para todas sus cuentas en línea, y no tiene que memorizarlas: el Administrador de contraseñas le proporcionará la contraseña correcta.

Para las cuentas locales, cada persona necesitará crear su propia contraseña. También necesitarán saber qué contraseña es aceptable y cuál no. Deberán que se les dirá que no usen contraseñas para otras cuentas, etc.

Esta información generalmente está contenida en la política de contraseña de una organización. Instruye a las personas a usar un número mínimo de caracteres, mezclar letras mayúsculas y minúsculas, incluir símbolos y signos de puntuación, etc.

Cómo matar procesos de una terminal de Linux

Sin embargo, según un nuevo artículo de un equipo de la Universidad Carnegie Mellon, todas estas técnicas agregan poco o nada a la fuerza de la contraseña. Los investigadores encontraron que los dos factores clave en la fuerza de la contraseña son que la contraseña debe tener al menos 12 caracteres y suficientemente fuertes. Medieron la fuerza de la contraseña utilizando una serie de programas de agrietamiento, métodos estadísticos y redes neuronales.

Un mínimo de 12 caracteres puede parecer desalentador al principio. Sin embargo, no piense en una contraseña, sino en una frase de pases de tres o cuatro palabras no relacionadas separadas por signos de puntuación.

Por ejemplo, el controlador de contraseña de Experte dijo que tomaría 42 minutos descifrar «Chicago99» pero 400 mil millones de años para romper «chimney. purple. bag». También es fácil de memorizar y escribir, y contiene solo 18 caracteres.

Ver su configuración actual

Antes de comenzar a cambiar cualquier cosa relacionada con la contraseña de una persona, es aconsejable echar un vistazo a su configuración actual. Usando el comando passwd, puede ver su configuración actual con el parámetr o-s (status). Tenga en cuenta que también tendrá que usar sudo con passwd si está trabajando con la configuración de contraseña de otra persona.

sudo passw d-s Mary

Se emite una línea de información a la ventana del terminal como se muestra a continuación.

En esta breve respuesta, ve la siguiente información (de izquierda a derecha):

El inicio de sesión de la persona. Uno de los tres posibles indicadores aparece aquí: P: indica que la cuenta tiene una contraseña de trabajo válida. L: Indica que la cuenta ha sido bloqueada por el titular de la cuenta raíz. N. p .: No se ha establecido una contraseña.

La fecha en que se cambió la contraseña por última vez. Vestimato mínimo de contraseña: el período mínimo de tiempo (en días) que debe transcurrir entre los restablecidos de contraseña realizados por el propietario de la cuenta. Sin embargo, el propietario de la cuenta raíz siempre puede cambiar cualquier contraseña. Si este valor es 0 (cero), no hay límite para la frecuencia de los cambios de contraseña. Lifetime de contraseña máxima: se solicita al propietario de la cuenta que cambie la contraseña cuando se alcanza esta edad. Este valor se especifica en los días, por lo que un valor de 99, 999 significa que la contraseña nunca vence. Período de alerta de cambio de contraseña: si se establece un período de vencimiento de contraseña máximo, el propietario de la cuenta recibirá recordatorios para cambiar su contraseña. El primero se enviará el número de días especificados aquí antes de la fecha de reinicio. Período de inactividad de contraseña: si alguien no accede al sistema por un período de tiempo que se superpone a la fecha límite de restablecimiento de contraseña, la contraseña de esa persona no se cambiará. Este valor indica cuántos días después de que expire la contraseña, sigue un período de gracia. Si la cuenta permanece inactiva para este número de días después de que expire la contraseña, la cuenta está bloqueada. Un valor d e-1 deshabilita el período de gracia.

Configuración de la edad máxima de contraseña

Para establecer el período de restablecimiento de contraseña, puede usar el parámetr o-x (número máximo de días) con el número de días. No deja un espacio entr e-x y los números, así que ingrese de la siguiente manera:

sudo passw d-x45 Mary

Se nos dice que la fecha de vencimiento se ha cambiado como se muestra a continuación.

Cómo verificar la seguridad de una PC Linux usando Lynis

Use el parámetr o-s (estado) para verificar que el valor ahora sea 45:

sudo passw d-s Mary

Ahora, después de 45 días, se debe configurar una nueva contraseña para esta cuenta. Los recordatorios comenzarán siete días antes de eso. Si la nueva contraseña no se establece a tiempo, esta cuenta se bloqueará inmediatamente.

Forzar un cambio inmediato de contraseña

También puede usar un comando para obligar a otros usuarios a su red a cambiar sus contraseñas la próxima vez que inicien sesión. Para hacer esto, debe usar el parámetr o-E (tiempo de vencimiento) de la siguiente manera:

sudo passw d-e Mary

Luego se nos dice que la información de vencimiento de contraseña ha cambiado.

Veamos con el parámetr o-s y veamos qué sucedió:

sudo passw d-s Mary

La fecha del último cambio de contraseña se establece en el primer día de 1970. La próxima vez que esta persona intente iniciar sesión, tendrá que cambiar su contraseña. También deben proporcionar su contraseña actual antes de poder ingresar una nueva.

¿Deberían las personas ser obligadas a cambiar su contraseña?

Forzar a las personas a cambiar sus contraseñas regularmente era sentido común. Fue uno de los pasos de seguridad estándar para la mayoría de las instalaciones y se consideró una buena práctica comercial.

Ahora el pensamiento es todo lo contrario. En el Reino Unido, el Centro Nacional de Seguridad Cibernética asesora fuertemente contra forzar actualizaciones regulares de contraseñas, y el Instituto Nacional de Normas y Tecnología en los Estados Unidos está de acuerdo. Ambas organizaciones recomiendan forzar un cambio de contraseña solo si sabe o sospecha que otros conocen una contraseña existente.

Forzar a las personas a cambiar las contraseñas se vuelve monótona y fomenta el uso de contraseñas débiles. Por lo general, las personas comenzarán a reutilizar una contraseña básica con un sello de fecha u otro número. O los escribirán porque necesitan cambiarlos con tanta frecuencia que no pueden recordarlos.

Las dos organizaciones mencionadas anteriormente recomiendan las siguientes pautas de seguridad de la contraseña:

Use un administrador de contraseñas: tanto para cuentas de red y locales. Habilite la autenticación de dos factores: úsela siempre que sea posible. Utilice una frase de pases fuerte: una excelente alternativa para aquellas cuentas que no funcionan con un administrador de contraseñas. Tres o más palabras separadas por puntuación o símbolos son un buen ejemplo a seguir. Nunca reutilice una contraseña: evite usar la misma contraseña que usa para otra cuenta, y definitivamente no use la que figura en la lista. He sido persuadido.

Los consejos anteriores le permitirán establecer un medio seguro para acceder a sus cuentas. Cuando tenga estas directrices, quédese con ellas.¿Por qué cambiar su contraseña si es seguro y seguro? Si cae en las manos equivocadas, o sospecha que lo ha hecho, puede cambiarlo.

Sin embargo, a veces esa decisión está fuera de tus manos. Si las autoridades lo obligan a cambiar su contraseña, no tiene muchas opciones. Puede defenderse y dar a conocer su posición, pero a menos que sea el jefe, tendrá que seguir la política de la empresa.

Equipo de chage

#!/bin/bash reset_days = 28 para nombre de usuario en $ (ls/home) do sudo chage $ usernam e-m $ reset_days echo $ username contraseña contraseña de contraseña cadena cambiada a $ reset_days realizado

Esto cambiará el número máximo de días para cada cuenta de usuario a 28 y, por lo tanto, la frecuencia de restablecimiento de contraseña. Puede personalizar el valor de la variable RESET_DAYS como desee.

Primero ingresamos lo siguiente para que nuestro script sea ejecutable:

CHMOD +X PASCONTA FECHA. SH

Ahora podemos ingresar lo siguiente para ejecutar nuestro script:

sudo ./password-date. sh

Primero ingresamos lo siguiente para que nuestro script sea ejecutable:

Ingresamos lo siguiente para verificar la cuenta de «Mary»:

sudo Chang e-l Mary

Los días máximos se establecen en 28 y se nos dice que esto caerá el 21 de noviembre de 2020. También puede cambiar fácilmente el script y agregar más comandos Cheage o Passwd.

La gestión de contraseñas debe tomarse en serio. Ahora tiene las herramientas que necesita para administrarlas.

toadmin. ru.

Salida sudo passw d-s Mary en una ventana de terminal.

sudo passw d-x45 Mary en una ventana terminal.

Notificación del vencimiento de la contraseña en una ventana de terminal.

sudo passw d-s Mary en una ventana terminal.

sudo pas ó-e Mary en una ventana terminal.

Salida del comando sudo passw d-e Mary en una ventana de terminal.

sudo passw d-s Mary en una ventana terminal.

Pantalla de restablecimiento de contraseña.

sudo Cheag e-l Eric en una ventana terminal.

Sudo Cheage Eri c-E 2020-11-30 en una ventana terminal.

sudo cambi a-l eric en una ventana terminal.

Sudo Chang e-M 45 Mary en una ventana terminal.

sudo cambi o-l Mary en una ventana terminal.

En la ventana terminal en la ventana terminal en la ventana terminal

Controle la obsolescencia de la contraseña en el editor GEDIT.

sudo gedit contraseña-date. sh en una ventana de terminal.

CHMOD + X PASSWORD-FECHA. SH en una ventana de terminal.

sudo ./password-date. sh en una ventana de terminal.

Cuatro cuentas de usuario con fecha de vencimiento de contraseña cambió a 28 en una ventana de terminal.

sudo Cheag e-l Mary en una ventana terminal.