A jelszavak a fiókbiztonság alappillérei. Megmutatjuk, hogyan állíthatja vissza a jelszavakat, állíthatja be a jelszavak lejárati idejét, és hogyan kényszerítheti ki a jelszómódosításokat Linux-hálózatán.
Tartalomjegyzék
A jelszó közel 60 éve létezik
Az 1960-as évek közepe óta, a jelszó első bevezetése óta bizonyítjuk a számítógépek számára, hogy azok vagyunk, akiknek mondjuk magunkat. A szükségszerűség a találmány anyja, a Kompatibilis időmegosztási rendszer a Massachusetts Institute of Technology módra volt szüksége a rendszerben lévő különböző személyek azonosítására. Azt is meg kellett akadályozni, hogy az emberek lássák egymás fájljait.
Fernando J. Corbató olyan sémát javasolt, amely minden személyhez egyedi felhasználónevet rendel. Annak bizonyítására, hogy valaki az, akinek mondja magát, privát, személyes jelszót kellett használnia a fiókjához való hozzáféréshez.
A jelszavakkal az a baj, hogy kulcsként működnek. Akinek van kulcsa, az használhatja. Ha valaki megtalálja, kitalálja vagy kitalálja a jelszavát, akkor hozzáférhet fiókjához. Amíg többtényezős hitelesítés univerzálisan elérhető, a jelszó az egyetlen dolog, ami megakadályozza az illetéktelen személyeket (fenyegetés szereplői, kiberbiztonsági nyelven beszélünk) ki a rendszerből.
A Secure Shell (SSH) által létrehozott távoli kapcsolatok beállíthatók úgy, hogy jelszavak helyett SSH-kulcsokat használjanak, és ez nagyszerű. Ez azonban csak egy csatlakozási mód, és nem vonatkozik a helyi bejelentkezésekre.
Nyilvánvaló, hogy a jelszavak kezelése létfontosságú, csakúgy, mint a jelszavakat használó emberek kezelése.
A jelszó anatómiája
Egyébként mitől jó egy jelszó? Nos, egy jó jelszónak rendelkeznie kell a következő tulajdonságokkal:
Lehetetlen kitalálni vagy kitalálni.
Máshol nem használtad.
Nem vett részt a adatszivárgás.
A Have I Been Pwned (HIBP) webhely több mint 10 milliárd megsértett hitelesítő adatkészletet tartalmaz. Ilyen magas számokkal valószínű, hogy valaki más is használta ugyanazt a jelszót, mint te. Ez azt jelenti, hogy a jelszava benne lehet az adatbázisban, még akkor is, ha nem az Ön fiókját sértették meg.
Ha jelszava a HIBP webhelyén található, ez azt jelenti, hogy szerepel a fenyegető jelszavak listáján. brute-force és szótári támadás eszközöket használnak, amikor megpróbálnak feltörni egy fiókot.
Valóban véletlenszerű jelszó (pl [email protected]%*[email protected]#b~aP) gyakorlatilag sebezhetetlen, de természetesen soha nem emlékezne rá. Erősen javasoljuk, hogy használjon jelszókezelőt az online fiókokhoz. Összetett, véletlenszerű jelszavakat generálnak minden online fiókjához, és Önnek nem kell emlékeznie rájuk – a jelszókezelő biztosítja a megfelelő jelszót.
A helyi fiókokhoz minden személynek saját jelszót kell generálnia. Azt is tudniuk kell, hogy mi az elfogadható jelszó és mi nem. Mondani kell nekik, hogy ne használják fel újra a jelszavakat más fiókokban stb.
Ez az információ általában a szervezet Jelszóházirendjében található. Arra utasítja az embereket, hogy minimális számú karaktert használjanak, keverjék a kis- és nagybetűket, vegyenek fel szimbólumokat és írásjeleket, és így tovább.
Szerint azonban egy vadonatúj lapotr egy csapattól a címen Carnegie Mellon Egyetem, ezek a trükkök keveset vagy semmit nem tesznek hozzá a jelszó robusztusságához. A kutatók azt találták, hogy a jelszavak robusztusságának két kulcstényezője az, hogy legalább 12 karakter hosszúak és kellően erősek. Számos szoftver-törőprogram, statisztikai technikák és neurális hálózatok segítségével mérték a jelszó erősségét.
A minimum 12 karakter elsőre ijesztően hangozhat. Ne gondoljon azonban jelszóra, hanem egy három-négy egymáshoz nem kapcsolódó szóból álló jelmondatra, amelyeket írásjelek választanak el egymástól.
Például a Szakértő jelszó-ellenőrző azt mondta, hogy a „chicago99” feltörése 42 percet vesz igénybe, a „kémény.lila.táska” feltöréséhez viszont 400 milliárd évre van szükség. Könnyen megjegyezhető és beírható, és mindössze 18 karaktert tartalmaz.
Az aktuális beállítások áttekintése
Mielőtt bármit módosítana egy személy jelszavával kapcsolatban, érdemes áttekinteni a jelenlegi beállításait. A passwd paranccsal megteheti tekintse át aktuális beállításaikat -S (állapot) opciójával. Ne feledje, hogy a sudo parancsot is használnia kell a passwd-vel, ha valaki más jelszóbeállításaival dolgozik.
A következőket írjuk be:
sudo passwd -S mary
Egyetlen információsor kerül kinyomtatásra a terminálablakba, az alábbiak szerint.
Ebben a szűkszavú válaszban a következő információk láthatók (balról jobbra):
A személy bejelentkezési neve.
A következő három lehetséges mutató egyike jelenik meg itt:
P: Azt jelzi, hogy a fiók érvényes, működő jelszóval rendelkezik.
L: Azt jelenti, hogy a fiókot a root fiók tulajdonosa zárolta.
NP: Nincs jelszó beállítva.
A jelszó legutóbbi módosításának dátuma.
A jelszó minimális kora: Az a minimális időtartam (napokban), amelynek el kell telnie a fiók tulajdonosa által végrehajtott jelszó-visszaállítások között. A root fiók tulajdonosa azonban bármikor megváltoztathatja bárki jelszavát. Ha ez az érték 0 (nulla), nincs korlátozás a jelszóváltás gyakoriságára vonatkozóan.
A jelszó maximális korhatára: A fiók tulajdonosát a rendszer felszólítja jelszavának megváltoztatására, ha eléri ezt a korhatárt. Ez az érték napokban van megadva, így a 99 999 érték azt jelenti, hogy a jelszó soha nem jár le.
Jelszómódosítási figyelmeztetési időszak: Ha a jelszó maximális korhatárát kényszerítik ki, a fiók tulajdonosa emlékeztetőket kap a jelszava megváltoztatására. Ezek közül az elsőt az itt látható számú nap elküldi a visszaállítás dátuma előtt.
Jelszó inaktivitási időszaka: Ha valaki a jelszó-visszaállítási határidőn túli ideig nem lép be a rendszerbe, a jelszava nem változik. Ez az érték azt jelzi, hogy a türelmi időszak hány napig tart a jelszó lejárati dátumát követően. Ha a fiók inaktív marad ennyi napig a jelszó lejárta után, a fiók zárolva lesz. A -1 érték letiltja a türelmi időszakot.
A jelszó maximális életkorának beállítása
A jelszó-visszaállítási periódus beállításához használhatja a -x (maximum napok) opciót napok számával. Nem hagy szóközt az -x és a számjegyek között, ezért a következőképpen írja be:
sudo passwd -x45 mary
Úgy értesültünk, hogy a lejárati érték megváltozott, az alábbiak szerint.
Használja az -S (status) opciót annak ellenőrzésére, hogy az érték most 45:
sudo passwd -S mary
Most 45 napon belül új jelszót kell beállítani ehhez a fiókhoz. Az emlékeztetők hét nappal ezt megelőzően kezdődnek. Ha nem állít be időben új jelszót, a fiók azonnal zárolásra kerül.
Azonnali jelszómódosítás kényszerítése
Használhat parancsot is, így a hálózaton másoknak meg kell változtatniuk jelszavaikat a következő bejelentkezéskor. Ehhez az -e (expire) kapcsolót kell használniuk, az alábbiak szerint:
sudo passwd -e mary
Ezt követően a jelszó lejárati információi megváltoztak.
Ellenőrizzük az -S opciót, és nézzük meg, mi történt:
sudo passwd -S mary
Az utolsó jelszómódosítás dátuma 1970 első napja. A következő alkalommal, amikor ez a személy megpróbál bejelentkezni, meg kell változtatnia a jelszavát. Meg kell adniuk jelenlegi jelszavukat is, mielőtt újat írhatnak be.
Kényszeríteni kell a jelszómódosítást?
Régen józan ész volt rákényszeríteni az embereket a jelszavak rendszeres megváltoztatására. Ez volt az egyik rutin biztonsági lépés a legtöbb telepítésnél, és jó üzleti gyakorlatnak minősül.
A mostani gondolkodás ennek az ellenkezője. Az Egyesült Királyságban a Nemzeti Kiberbiztonsági Központ erősen tanácsolja a rendszeres jelszó-megújítások kikényszerítése ellen, és a Nemzeti Szabványügyi és Technológiai Intézet az USA-ban egyetért. Mindkét szervezet csak akkor javasolja a jelszómódosítás kényszerítését, ha tudja vagy gyanítja, hogy már létezik jelszó mások által ismert.
Az emberek jelszavak megváltoztatására kényszerítése monotonná válik, és gyenge jelszavakra ösztönöz. Az emberek általában elkezdik újra használni az alapjelszót, amelyen dátum vagy más szám szerepel. Vagy leírják őket, mert olyan gyakran kell cserélniük, hogy nem emlékeznek rájuk.
A fent említett két szervezet a jelszavas biztonság érdekében a következő irányelveket ajánlja:
Jelszókezelő használata: Online és helyi fiókokhoz egyaránt.
Kapcsolja be a kéttényezős hitelesítést: ahol van lehetőség, használja.
Használjon erős jelmondatot: Kiváló alternatíva azoknak a fiókoknak, amelyek nem működnek a jelszókezelővel. Három vagy több, írásjelekkel vagy szimbólumokkal elválasztott szó követendő sablon.
Soha ne használjon újra egy jelszót: Kerülje el ugyanazt a jelszót, mint egy másik fiókhoz, és semmiképpen ne használja a Have I Been Pwned.
A fenti tippek lehetővé teszik, hogy biztonságos hozzáférést biztosítson fiókjaihoz. Ha ezek az irányelvek a helyükön vannak, tartsa be őket. Miért változtatná meg a jelszavát, ha az erős és biztonságos? Ha rossz kezekbe kerül – vagy gyanítja, hogy van –, akkor megváltoztathatja.
Néha azonban ez a döntés kikerül a kezedből. Ha a jelszó kényszerítésére szolgáló hatáskörök megváltoznak, nincs sok választása. Kifejtheti az ügyét, és ismertetheti álláspontját, de ha nem Ön a főnök, akkor követnie kell a cég politikáját.
A chage parancs
Te tudod használni a chage parancsot a jelszó öregedésére vonatkozó beállítások módosításához. Ez a parancs a nevét a „change aging” szóból kapta. Ez olyan, mint a passwd parancs a jelszó-létrehozó elemek eltávolításával.
A -l (list) opció ugyanazokat az információkat jeleníti meg, mint a passwd -S parancs, de barátságosabb módon.
A következőket írjuk be:
sudo chage -l eric
Egy másik ügyes érintés, hogy beállíthat egy fiók lejárati dátumát a -E (lejárat) opcióval. Adunk egy dátumot (év-hónap-dátum formátumban), hogy a lejárati dátumot 2020. november 30-ra állítsuk be. Ezen a napon a fiók zárolva lesz.
A következőket írjuk be:
sudo chage eric -E 2020-11-30
Ezután beírjuk a következőket, hogy megbizonyosodjunk arról, hogy a módosítás megtörtént:
sudo chage -l eric
Úgy látjuk, a fiók lejárati dátuma „soha”-ról 2020. november 30-ra módosult.
A jelszó lejárati idejének beállításához használhatja a -M (maximum napok) opciót, valamint azt, hogy a jelszó legfeljebb hány napig használható, mielőtt módosítani kell.
A következőket írjuk be:
sudo chage -M 45 mary
A -l (lista) kapcsolóval a következőket írjuk be, hogy megnézzük parancsunk hatását:
sudo chage -l mary
A jelszó lejárati dátuma immár a beállítás dátumától számított 45 napra van beállítva, amely, mint látható, 2020. december 8. lesz.
Jelszómódosítások mindenki számára a hálózaton
A fiókok létrehozásakor a jelszavakhoz alapértelmezett értékeket használnak. Meghatározhatja, hogy mik az alapértelmezett értékek a minimális, maximum és figyelmeztető napokhoz. Ezek ezután egy „/etc/login.defs” nevű fájlban tárolódnak.
A fájl geditben való megnyitásához írja be a következőket:
sudo gedit /etc/login.defs
Görgessen a jelszó öregedési vezérlőihez.
Ezeket az igényeinek megfelelően szerkesztheti, mentheti a változtatásokat, majd bezárhatja a szerkesztőt. Amikor legközelebb létrehoz egy felhasználói fiókot, ezek az alapértelmezett értékek lesznek alkalmazva.
Ha módosítani szeretné a meglévő felhasználói fiókok összes jelszavának lejárati dátumát, akkor ezt egyszerűen megteheti egy szkript segítségével. Csak írja be a következőket a gedit szerkesztő megnyitásához, és hozzon létre egy „password-date.sh” nevű fájlt:
sudo gedit password-date.sh
Ezután másolja be a következő szöveget a szerkesztőbe, mentse el a fájlt, majd zárja be a gedit-et:
#!/bin/bash reset_days=28 for username in $(ls /home) do sudo chage $username -M $reset_days echo $username password expiry changed to $reset_days done
Ezzel az egyes felhasználói fiókokhoz tartozó napok maximális száma 28-ra módosul, és így a jelszó-visszaállítás gyakorisága is. A reset_days változó értékét a megfelelőnek megfelelően módosíthatja.
Először a következőket írjuk be, hogy a szkriptünk végrehajtható legyen:
chmod +x password-date.sh
Most beírhatjuk a következőket a szkriptünk futtatásához:
sudo ./password-date.sh
Ezután minden fiók feldolgozásra kerül, az alábbiak szerint.
A következőket írjuk be, hogy ellenőrizzük, hogy a fiókban van-e „mary”:
sudo change -l mary
A napok maximális értékét 28-ra állítottuk be, és úgy tudjuk, hogy ez 2020. november 21-re esik. Könnyedén módosíthatja a szkriptet, és további chage vagy passwd parancsokat adhat hozzá.
A jelszókezelést komolyan kell venni. Most megvannak a szükséges eszközök az irányítás átvételéhez.