Come costringere gli utenti a cambiare le loro password su Linux

Nov 4, 2024
Linux
Ilya titchev / shutterstock

Le password sono la Keystone per tenere conto della sicurezza. Vi mostreremo come ripristinare le password, impostare i periodi di scadenza della password e far rispettare le modifiche alla password sulla rete Linux.

La password è stata intorno per quasi 60 anni

Abbiamo dimostrato che i computer che siamo chi noi diciamo che siamo da metà degli anni '60, quando è stata introdotta la password. Necessità di essere la madre dell'invenzione, il Sistema di condivisione del tempo compatibile sviluppato al Istituto di Tecnologia del Massachussetts Aveva bisogno di un modo per identificare persone diverse sul sistema. Aveva anche bisogno di impedire alle persone di vedere i file dell'altro.

Fernando J. Corbató. proposto uno schema che ha assegnato un nome utente unico a ciascuna persona. Per dimostrare che qualcuno era quello che hanno detto che erano, hanno dovuto usare una password privata e personale per accedere al proprio account.

Il problema con le password è che operano come una chiave. Chiunque abbia una chiave può usarlo. Se qualcuno trova, indovina o figura la tua password, quella persona può accedere al tuo account. Fino a quando Autenticazione multi-fattore è universalmente disponibile, la password è l'unica cosa che mantiene persone non autorizzate ( Attori delle minacce , in cybersecurity-parli) fuori dal tuo sistema.

I collegamenti remoti effettuati da una shell sicura (SSH) possono essere configurati per utilizzare le chiavi SSH anziché le password, e è fantastico. Tuttavia, questo è solo un metodo di connessione, e non copre gli accessi locali.

Chiaramente, la gestione delle password è vitale, così come la gestione delle persone che utilizzano quelle password.

IMPARENTATO: Come creare e installare le chiavi SSH dal guscio Linux

L'anatomia di una password

Cosa rende una password buona, comunque? Bene, una buona password dovrebbe avere tutti i seguenti attributi:

  • È impossibile indovinare o capire.
  • Non l'hai usato da nessun'altra parte.
  • Non è stato coinvolto in a violazione dei dati .

Il Sono stato pwned (HIBP) Il sito Web contiene oltre 10 miliardi di set di credenziali violati. Con figure ad alte, è probabile che qualcun altro abbia usato la stessa password che sei. Ciò significa che la tua password potrebbe essere nel database, anche se non era il tuo account che è stato violato.

Se la tua password è sul sito Web di HIBP, questo significa che è negli elenchi degli attori delle minacce delle password Attacco di Brute-Force e del dizionario Strumenti Utilizzare quando stanno cercando di decifrare un account.

Una password veramente casuale (come 4hw @ hpjdbr% * wt @ # b ~ ap) è praticamente invulnerabile, ma, naturalmente, non lo ricorderò mai. Consigliamo vivamente di utilizzare una password manager per gli account online. Generano password complesse e casuali per tutti i tuoi account online e non devi ricordarli, il gestore della password fornisce la password corretta per te.

Per i conti locali, ogni persona deve generare la propria password. Ne dobbiamo anche sapere cos'è una password accettabile e cosa non è. Dovranno essere detto di non riutilizzare le password su altri conti e così via.

Queste informazioni sono solitamente nella politica della password di un'organizzazione. Include alle persone di utilizzare un numero minimo di caratteri, mescolare lettere maiuscole e minuscole, includono simboli e punteggiatura, e così via.

Tuttavia, secondo Una pape nuova di zecca r da una squadra a Università Carnegie Mellon , tutti questi trucchi aggiungono poco o nulla per la robustezza di una password. I ricercatori hanno scoperto che i due fattori chiave per la password robustezza sono di almeno 12 caratteri e sufficientemente forti. Hanno misurato la forza della password utilizzando un numero di programmi di cracker software, tecniche statistiche e reti neurali.

Un minimo di 12 caratteri potrebbe sembrare scoraggiante all'inizio. Tuttavia, non pensare in termini di password, ma piuttosto, una passphrase di tre o quattro parole non correlate separate dalla punteggiatura.

Ad esempio, il Experte Password Checker. ha detto che ci vorrebbero 42 minuti per crack "Chicago99", ma 400 miliardi di anni per crack "Chimney.Purple.bag". È anche facile da ricordare e digitare e contiene solo 18 caratteri.

IMPARENTATO: Perché dovresti usare un gestore di password e come iniziare

Revisione delle impostazioni correnti

Prima di andare a cambiare qualcosa a che fare con la password di una persona, è prudente dare un'occhiata alle loro attuali impostazioni. Con il passwd. comando, puoi rivedere le loro attuali impostazioni con i suoi -S (Stato) opzione. Si noti che dovrai anche usare sudo. insieme a passwd. Se stai lavorando con le impostazioni della password di qualcun altro.

Digitino quanto segue: 

 Sudo passwd -s Mary

Una singola riga di informazioni viene stampata nella finestra del terminale, come mostrato di seguito.

Vedi le seguenti informazioni (da sinistra a destra) in quella risposta curta:

  • Il nome di accesso della persona.
  • Uno dei seguenti tre possibili indicatori appare qui:
    • P: Indica che l'account ha una password valida e funzionante.
    • L: Significa che l'account è stato bloccato dal proprietario dell'account root.
    • NP: Una password non è stata impostata.
  • La data è stata cambiata la password.
  • Età minima della password: Il periodo minimo di tempo (in giorni) che deve essere trascorso tra la password reimpostata eseguita dal proprietario dell'account. Il proprietario dell'account root, tuttavia, può sempre cambiare la password di chiunque. Se questo valore è 0 (zero), non c'è una restrizione sulla frequenza delle modifiche alla password.
  • Massima password dell'età: Il proprietario del conto è richiesto di cambiare la sua password quando raggiunge questa età. Questo valore è dato in giorni, quindi un valore di 99.999 significa che la password non scade mai.
  • Password Modifica periodo di avvertimento: Se viene applicata un'età massima della password, il proprietario dell'account riceverà promemoria per cambiare la sua password. Il primo di questi verrà inviato il numero di giorni mostrati qui prima della data di reset.
  • Periodo di inattività per la password: Se qualcuno non accede al sistema per un periodo di tempo che si sovrappone alla scadenza di reimpostazione della password, la password di questa persona non verrà modificata. Questo valore indica quanti giorni il periodo di grazia segue una data di scadenza della password. Se l'account rimane inattivo questo numero di giorni dopo scadere una password, l'account è bloccato. Un valore di -1 disabilita il periodo di grazia.

Impostazione di un'età massima di password

Per impostare un periodo di ripristino della password, è possibile utilizzare il -X (giorni massimi) opzione con un numero di giorni. Non lasci uno spazio tra il -X e le cifre, quindi lo scriverai come segue: 

 sudo passwd -x45 mary

Ci è stato detto che il valore di scadenza è stato cambiato, come mostrato di seguito.

Utilizzare il -S (Stato) Opzione per verificare che il valore sia ora 45: 

 Sudo passwd -s Mary

Ora, in 45 giorni, è necessario impostare una nuova password per questo account. I ricordi inizieranno sette giorni prima di questo. Se una nuova password non è impostata in tempo, questo account verrà bloccato immediatamente.

Applicare un cambiamento immediato della password

È inoltre possibile utilizzare un comando in modo che altri sulla tua rete dovranno cambiare le loro password la prossima volta che accedono. Per fare questo, useresti il -e. (scadisci) opzione, come segue: 

 sudo passwd -e mary

Abbiamo quindi detto che le informazioni sulla scadenza della password sono cambiate.

Controlliamo con il -S opzione e vedere cosa è successo: 

 Sudo passwd -s Mary

La data dell'ultima modifica della password è impostata sul primo giorno del 1970. La prossima volta che questa persona cerca di accedere, lui o lei dovrà cambiare la loro password. Devono anche fornire la loro password attuale prima che possano scriverne una nuova.

Dovresti far rispettare le modifiche alla password?

Forzare le persone a cambiare le loro password regolarmente utilizzate per essere un buon senso. È stato uno dei passaggi di sicurezza di routine per la maggior parte degli impianti e considerati una buona pratica commerciale.

Il pensiero ora è il contrario polare. Nell'u.k., il Centro nazionale di sicurezza cyber fortemente consiglia contro l'applicazione dei rinnovi della password regolari , e il Istituto nazionale di standard e tecnologia negli Stati Uniti concorda. Entrambe le organizzazioni raccomandano di far modificare una password solo se si conosce o sospetta che uno esistente sia conosciuto da altri .

Forzare le persone a cambiare le loro password diventa monotono e incoraggia le password deboli. Le persone di solito iniziano a riutilizzare una password di base con una data o un altro numero taggato su di essa. Oppure lo scriveranno perché devono cambiarli così spesso, non riescono a ricordarli.

Le due organizzazioni che abbiamo menzionato sopra raccomandano le seguenti linee guida per la sicurezza della password:

  • Utilizzare un gestore password: Per conti online e locali.
  • Attiva l'autenticazione a due fattori: Ovunque questa sia un'opzione, usarlo.
  • Usa una passphrase forte: Un'ottima alternativa per tali account che non funzionerà con un gestore di password. Tre o più parole separate da punteggiatura o simboli è un buon modello da seguire.
  • Non riutilizzare mai una password: Evitare di utilizzare la stessa password che usi per un altro account e sicuramente non usare uno elencato su Sono stato pwned .

I suggerimenti sopra ti consentiranno di stabilire un mezzo sicuro per accedere ai tuoi account. Una volta che hai queste linee guida in atto, attenersi con loro. Come mai Cambia la tua password Se è forte e sicuro? Se cade nelle mani sbagliate, o sospetti che lo abbia, puoi cambiarlo allora.

A volte, questa decisione è fuori dalle tue mani, però. Se i poteri che possono far valere le modifiche alla password, non hai molta scelta. Puoi inviare il tuo caso e rendere nota la tua posizione, ma a meno che tu non sia il capo, dovrai seguire la politica aziendale.

IMPARENTATO: Dovresti cambiare le tue password regolarmente?

Il comando di graditura

Puoi usare il graditura comando Per modificare le impostazioni relative all'invecchiamento della password. Questo comando prende il nome da "Cambia invecchiamento". È come il passwd. comando con gli elementi di creazione della password rimossi.

Il -L. (Elenco) L'opzione presenta le stesse informazioni del passwd -s. comando, ma in una moda più amichevole.

Digitino quanto segue: 

 Sudo Chage -L Eric

Un altro tocco pulito è che è possibile impostare una data di scadenza del conto usando il -E. opzione (scadenza). Passeremo una data (nel formato di data-mese-data) per impostare una data di scadenza del 30 novembre 2020. In quella data, l'account sarà bloccato.

Digitino quanto segue: 

 ADO CHAGAGE ERIC -E 2020-11-30

Successivamente, digitiamo quanto segue per assicurarci che questa modifica sia stata eseguita: 

 Sudo Chage -L Eric

Vediamo la data di scadenza del conto è cambiata da "mai" al 30 novembre 2020.

Per impostare un periodo di scadenza della password, è possibile utilizzare il -M (Giorni massimi) opzione, insieme al numero massimo di giorni che una password può essere utilizzata prima che deve essere modificata.

Digitino quanto segue: 

 Sudo Chage -m 45 Maria

Digitino quanto segue, usando il -L. (Elenco) opzione, per vedere l'effetto del nostro comando: 

 Sudo Chage -l Mary

La data di scadenza della password è ora impostata su 45 giorni dalla data che lo impostiamo, che, come mostrato, sarà 8 dicembre, 2020.

Fare modifiche alla password per tutti su una rete

Quando vengono creati account, viene utilizzato un set di valori predefiniti per le password. È possibile definire quali sono i valori predefiniti per i giorni minimi, massimi e di avvertimento. Questi vengono quindi tenuti in un file chiamato "/etc/login.defs".

È possibile digitare quanto segue per aprire questo file in gedit. : 

 sudo gedit /etc/login.defs

Scorri verso i controlli di invecchiamento della password.

Puoi modificarli per soddisfare le tue esigenze, salvare le modifiche e quindi chiudere l'editor. La prossima volta che si crea un account utente, verranno applicati questi valori predefiniti.

Se si desidera modificare tutte le date della scadenza della password per gli account utente esistenti, è possibile farlo facilmente con uno script. Basta digitare quanto segue per aprire il gedit. Editor e crea un file chiamato "Password-date.sh": 

 sudo gedit Password-date.sh

Quindi, copia il seguente testo nel tuo editor, salva il file e quindi chiudi gedit. : 

 #! / Bin / Bash

reset_days = 28.

per nome utente in $ (ls / home)
fare
  Sudo Chage $ username -m $ reset_days
  ECHO $ ​​USERNAME Password scadenza cambiata in $ reset_days
fatto

Ciò cambierà il numero massimo di giorni per ciascun account utente a 28 e, pertanto, la frequenza di ripristino della password. Puoi regolare il valore del reset_days. variabile per adattarsi.

Innanzitutto, digitiamo quanto segue per rendere il nostro eseguibile script: 

 CHMOD + X Password-Date.sh

Ora, possiamo digitare quanto segue per eseguire il nostro script: 

 sudo ./password-date.sh

Ogni account viene quindi elaborato, come mostrato di seguito.

Digitiamo quanto segue per verificare l'account per "Mary": 

 Sudo Cambia -l Mary

Il valore massimo dei giorni è stato impostato su 28 e ci viene detto che cadrà il 21 novembre 2020. Puoi anche modificare facilmente lo script e aggiungere altro graditura o passwd. comandi.

La gestione della password è qualcosa che deve essere presa sul serio. Ora, hai gli strumenti necessari per prendere il controllo.

Linux - Articoli più popolari

Come utilizzare Brace Espansione in Bash Shell di Linux

Linux May 12, 2025

Fatmawati Achmad Zaenuri / Shutterstock Espansione delle parentesi graffe è una tecnica utile per generare liste di stringhe che possono essere utilizzati neg..

Quali sono i dizionari di Bash su Linux e come li usi?

Linux Jun 16, 2025

Fatmawati Achmad Zaenuri / Shutterstock.com I dizionari di Bash ti offrono mappe hash e array associativi negli script Shell Linux. Ti mostreremo come utiliz..

Come aggiornare Arch Linux

Linux Jul 30, 2025

Progetto di Ubuntu Il tempo è arrivato a aggiornare il tuo sistema Arch Linux? Sia che tu sia in puro arco o una distribuzione a base arco come Manjar..

5 distribuzioni Linux specializzate con caratteristiche uniche

Linux Jul 20, 2025

Leggendo attraverso la lunga lista dei distros esistenti di Linux, i sapori vari e i tiro fuori dai fuochi di spigoli partono tutti per sfocarsi insieme. Per rimediare, abbiamo raccolto al..

Come aggiornare Ubuntu Linux

Linux Aug 27, 2025

Tomeqs / shutterstock.com. Hai bisogno che l'ultimo e il più grande software di Ubuntu? Non è necessario essere un Linux Pro. Continua a leggere per scopri..

Come installare Linux su un Mac con Apple M1 Silicon

Linux Nov 11, 2024

Il supporto nativo Linux per la nuova architettura basata su braccioli di Apple non è ancora pronta, ma puoi eseguire Linux su un M1. , M1 Pro, o M1 max usando a macchina..

7 errori I nuovi utenti Linux fanno (e come evitarli)

Linux Nov 11, 2024

Imparare Linux può essere un'esperienza frustrante in cui tutto è una piccola cosa come una battaglia. Evitare questi errori comuni renderà la tua introduzione e l'adozione di Linux molto pi..

Come ottenere il tuo IP pubblico in uno script di Bash Linux

Linux Nov 9, 2024

Avrai bisogno del tuo indirizzo IP esterno se vuoi connetterti a distanza al tuo computer. Trovarlo manualmente è facile, ma ecco come trovarla all'interno di uno script Linux. Indirizzi..

Categorie