Лозинке су кључни камен за безбедност налога. Показаћемо вам како да ресетујете лозинке, подесите периоде истека лозинке и примените промене лозинке на вашој Линук мрежи.
Преглед садржаја
Лозинка постоји скоро 60 година
Доказујемо рачунарима да смо оно за шта кажемо да јесмо још од средине 1960-их, када је лозинка први пут уведена. Нужност је мајка проналаска, Компатибилан систем дељења времена развијен на Массацхусеттс Институте оф Тецхнологи потребан начин да се идентификују различити људи у систему. Такође је требало да спречи људе да виде датотеке једни других.
Фернандо Ј. Цорбато предложио шему која је доделила јединствено корисничко име свакој особи. Да би доказали да је неко оно за кога су рекли да јесте, морали су да користе приватну, личну лозинку за приступ свом налогу.
Проблем са лозинкама је што раде као кључ. Свако ко има кључ може да га користи. Ако неко пронађе, погоди или открије вашу лозинку, та особа може да приступи вашем налогу. Све док вишефакторска аутентификација је универзално доступна, лозинка је једина ствар која задржава неовлашћене људе (актери претњиу циберсецурити-спеак) ван вашег система.
Даљинске везе направљене помоћу Сецуре Схелл (ССХ) могу се конфигурисати да користе ССХ кључеве уместо лозинки, и то је одлично. Међутим, то је само један начин повезивања и не покрива локалне пријаве.
Јасно је да је управљање лозинкама од виталног значаја, као и управљање људима који користе те лозинке.
Анатомија лозинке
Шта уопште чини лозинку добром? Па, добра лозинка треба да има све следеће атрибуте:
Немогуће је погодити или одгонетнути.
Нигде другде га нисте користили.
Није било укључено у а повреда података.
Тхе Да ли сам избачен (ХИБП) веб локација садржи преко 10 милијарди скупова проваљених акредитива. Са тако високим цифрама, велике су шансе да је неко други користио исту лозинку као ви. То значи да је ваша лозинка можда у бази података, иако то није био ваш налог који је проваљен.
Ако се ваша лозинка налази на веб локацији ХИБП-а, то значи да је на листама актера претњи за лозинке грубом силом и нападом речником алати које користе када покушавају да разбију налог.
Заиста насумична лозинка (нпр [email protected]%*[email protected]#б~аП) је практично нерањив, али, наравно, никада га се нећете сетити. Топло препоручујемо да користите менаџер лозинки за онлајн налоге. Они генеришу сложене, насумичне лозинке за све ваше налоге на мрежи и не морате да их памтите – менаџер лозинки вам даје тачну лозинку.
За локалне налоге, свака особа мора да генерише сопствену лозинку. Такође ће морати да знају шта је прихватљива лозинка, а шта није. Мораће им бити речено да не користе поново лозинке на другим налозима, итд.
Ове информације се обично налазе у политици лозинки организације. Он упућује људе да користе минималан број знакова, мешају велика и мала слова, укључују симболе и интерпункцију и тако даље.
Међутим, према потпуно нов папирр из тима у Универзитет Царнегие Меллон, сви ови трикови додају мало или ништа робусности лозинке. Истраживачи су открили да су два кључна фактора за робусност лозинке та да имају најмање 12 знакова и довољно јаке. Они су мерили снагу лозинке користећи бројне програме за разбијање софтвера, статистичке технике и неуронске мреже.
Минимум од 12 знакова у почетку може звучати застрашујуће. Међутим, немојте размишљати о лозинки, већ о приступној фрази од три или четири неповезане речи раздвојене интерпункцијом.
На пример, тхе Стручна провера лозинки рекао је да ће бити потребно 42 минута да се разбије „цхицаго99“, али 400 милијарди година да се разбије „цхимнеи.пурпле.баг“. Такође се лако памти и куца, а садржи само 18 знакова.
Преглед тренутних подешавања
Пре него што промените било шта у вези са лозинком неке особе, паметно је погледати њихова тренутна подешавања. Са наредбом пассвд, можете прегледајте њихова тренутна подешавања са својом опцијом -С (статус). Имајте на уму да ћете такође морати да користите судо са пассвд ако радите са подешавањима лозинке неког другог.
Укуцавамо следеће:
sudo passwd -S mary
Једна линија информација се штампа у прозору терминала, као што је приказано испод.
У том кратком одговору видите следеће информације (с лева на десно):
Корисничко име за пријаву.
Овде се појављује један од следећа три могућа индикатора:
П: Означава да налог има важећу, радну лозинку.
Л: Значи да је налог закључао власник основног налога.
НП: Лозинка није постављена.
Датум последње промене лозинке.
Минимална старост лозинке: Минимални временски период (у данима) који мора да прође између ресетовања лозинке које изврши власник налога. Власник роот налога, међутим, увек може да промени билочију лозинку. Ако је ова вредност 0 (нула), не постоји ограничење учесталости промене лозинке.
Максимална старост лозинке: од власника налога се тражи да промени своју лозинку када достигне овај узраст. Ова вредност је дата у данима, тако да вредност од 99,999 значи да лозинка никада не истиче.
Период упозорења о промени лозинке: Ако се примени максимална старост лозинке, власник налога ће добијати подсетнике да промени своју лозинку. Првом од њих ће бити послат број дана приказаних овде пре датума ресетовања.
Период неактивности за лозинку: Ако неко не приступи систему у периоду који се преклапа са роком за ресетовање лозинке, лозинка те особе се неће променити. Ова вредност показује колико дана грејс период следи након датума истека лозинке. Ако налог остане неактиван овај број дана након истека лозинке, налог је закључан. Вредност -1 онемогућава грејс период.
Постављање максималне старости лозинке
Да бисте подесили период ресетовања лозинке, можете користити опцију -к (максимални број дана) са бројем дана. Не остављате размак између -к и цифара, па бисте га откуцали на следећи начин:
sudo passwd -x45 mary
Речено нам је да је вредност истека промењена, као што је приказано у наставку.
Користите опцију -С (статус) да бисте проверили да ли је вредност сада 45:
sudo passwd -S mary
Сада, за 45 дана, мора се поставити нова лозинка за овај налог. Подсетници ће почети седам дана пре тога. Ако се нова лозинка не постави на време, овај налог ће бити одмах закључан.
Примена тренутне промене лозинке
Такође можете користити команду тако да ће други на вашој мрежи морати да промене своје лозинке следећи пут када се пријаве. Да бисте то урадили, користите опцију -е (екпире), на следећи начин:
sudo passwd -e mary
Тада нам је речено да су се информације о истеку лозинке промениле.
Хајде да проверимо са опцијом -С и видимо шта се десило:
sudo passwd -S mary
Датум последње промене лозинке је постављен на први дан 1970. Следећи пут када ова особа покуша да се пријави, мораће да промени своју лозинку. Они такође морају да наведу своју тренутну лозинку пре него што могу да унесу нову.
Да ли би требало да примените промене лозинке?
Присиљавање људи да редовно мењају своје лозинке некада је било здрав разум. Био је то један од рутинских безбедносних корака за већину инсталација и сматрао се добром пословном праксом.
Размишљање сада је потпуно супротно. У Великој Британији, Национални центар за сајбер безбедност снажно саветује против спровођења редовног обнављања лозинкеи тхе Национални институт за стандарде и технологију у САД се слаже. Обе организације препоручују спровођење промене лозинке само ако знате или сумњате да постоји познато од других.
Присиљавање људи да мењају своје лозинке постаје монотоно и подстиче слабе лозинке. Људи обично почињу да поново користе основну лозинку са датумом или другим бројем означеним на њој. Или ће их записати јер морају да их мењају толико често да их се не сећају.
Две организације које смо поменули изнад препоручују следеће смернице за безбедност лозинке:
Користите менаџер лозинки: и за онлајн и за локалне налоге.
Укључите двофакторску аутентификацију: где год је ово опција, користите је.
Користите јаку приступну фразу: одлична алтернатива за оне налоге који неће радити са менаџером лозинки. Три или више речи раздвојених интерпункцијом или симболима је добар шаблон за праћење.
Никада немојте поново користити лозинку: Избегавајте коришћење исте лозинке коју користите за други налог и дефинитивно немојте користити ону наведену на Да ли сам избачен.
Горе наведени савети ће вам омогућити да успоставите безбедно средство за приступ вашим налозима. Када имате ове смернице, држите их се. Зашто мењати лозинку ако је јака и безбедна? Ако падне у погрешне руке — или сумњате да јесте — тада га можете променити.
Међутим, понекад ова одлука није у вашим рукама. Ако се овлашћења за примену лозинке промене, немате много избора. Можете се изјаснити за свој случај и изнети свој став, али осим ако нисте шеф, мораћете да следите политику компаније.
Тхе цхаге Цомманд
Можете користити команду промене да промените подешавања у вези са старењем лозинке. Ова команда је добила име по „промени старење“. То је као команда пассвд са уклоњеним елементима за креирање лозинке.
Опција -л (лист) представља исте информације као и команда пассвд -С, али на пријатељскији начин.
Укуцавамо следеће:
sudo chage -l eric
Још један згодан додир је да можете подесити датум истека налога користећи опцију -Е (истек). Проследићемо датум (у формату година-месец-датум) за постављање датума истека 30. новембра 2020. На тај датум налог ће бити закључан.
Укуцавамо следеће:
sudo chage eric -E 2020-11-30
Затим уносимо следеће да бисмо били сигурни да је ова промена урађена:
sudo chage -l eric
Видимо да је датум истека налога промењен са „никад“ на 30. новембар 2020.
Да бисте подесили период истека лозинке, можете користити опцију -М (максимални број дана), заједно са максималним бројем дана које лозинка може да се користи пре него што се мора променити.
Укуцавамо следеће:
sudo chage -M 45 mary
Укуцавамо следеће, користећи опцију -л (лист), да видимо ефекат наше команде:
sudo chage -l mary
Датум истека лозинке је сада постављен на 45 дана од датума када смо га поставили, а то ће, као што је приказано, бити 8. децембар 2020.
Промена лозинке за све на мрежи
Када се креирају налози, за лозинке се користи скуп подразумеваних вредности. Можете дефинисати које су подразумеване вредности за минималне, максималне и дане упозорења. Они се затим чувају у датотеци под називом „/етц/логин.дефс.“
Можете да унесете следеће да бисте отворили ову датотеку у гедит-у:
sudo gedit /etc/login.defs
Померите се до контрола старења лозинке.
Можете их уредити тако да одговарају вашим захтевима, сачувати измене, а затим затворити уређивач. Следећи пут када креирате кориснички налог, ове подразумеване вредности ће бити примењене.
Ако желите да промените све датуме истека лозинке за постојеће корисничке налоге, то можете лако да урадите помоћу скрипте. Само унесите следеће да бисте отворили гедит едитор и креирали датотеку под називом „пассворд-дате.сх“:
sudo gedit password-date.sh
Затим копирајте следећи текст у свој уређивач, сачувајте датотеку, а затим затворите гедит:
#!/bin/bash reset_days=28 for username in $(ls /home) do sudo chage $username -M $reset_days echo $username password expiry changed to $reset_days done
Ово ће променити максимални број дана за сваки кориснички налог на 28, а самим тим и учесталост ресетовања лозинке. Можете подесити вредност променљиве ресет_даис како би одговарала.
Прво, откуцавамо следеће да би наша скрипта била извршна:
chmod +x password-date.sh
Сада можемо да откуцамо следеће да бисмо покренули нашу скрипту:
sudo ./password-date.sh
Сваки налог се затим обрађује, као што је приказано у наставку.
Укуцавамо следеће да бисмо проверили да ли на налогу постоји „мари“:
sudo change -l mary
Максимална вредност дана је постављена на 28 и речено нам је да ће то пасти 21. новембра 2020. Такође можете лако да измените скрипту и додате још команди цхаге или пассвд.
Управљање лозинкама је нешто што се мора схватити озбиљно. Сада имате алате који су вам потребни да преузмете контролу.