Hesla jsou základním kamenem zabezpečení účtu. Ukážeme vám, jak resetovat hesla, nastavit doby platnosti hesla a vynutit změny hesla ve vaší síti Linux.
Table of Contents
Heslo existuje již téměř 60 let
Už od poloviny 60. let, kdy bylo heslo poprvé představeno, dokazujeme počítačům, že jsme tím, za koho se vydáváme. Nutnost být matkou vynálezu, Kompatibilní systém sdílení času vyvinut na Massachusetts Institute of Technology potřeboval způsob, jak identifikovat různé lidi v systému. Potřeboval také zabránit lidem, aby si navzájem viděli své soubory.
Fernando J. Corbató navrhl schéma, které každé osobě přidělilo jedinečné uživatelské jméno. Aby někdo dokázal, že je tím, za koho se vydává, musel pro přístup ke svému účtu použít soukromé osobní heslo.
Problém s hesly je, že fungují stejně jako klíč. Každý, kdo má klíč, jej může použít. Pokud někdo najde, uhodne nebo zjistí vaše heslo, bude mít přístup k vašemu účtu. Dokud vícefaktorové ověřování je všeobecně dostupné, heslo je jediná věc, která drží neoprávněné osoby (aktéři hrozbyv kybernetické bezpečnosti) mimo váš systém.
Vzdálená připojení vytvořená pomocí Secure Shell (SSH) lze nakonfigurovat tak, aby místo hesel používala klíče SSH, a to je skvělé. Je to však pouze jedna metoda připojení a nevztahuje se na místní přihlášení.
Je zřejmé, že správa hesel je zásadní, stejně jako správa lidí, kteří tato hesla používají.
Anatomie hesla
K čemu je vlastně heslo dobré? Dobré heslo by mělo mít všechny následující atributy:
Je nemožné to odhadnout nebo zjistit.
Nikde jinde jsi to nepoužil.
Nebylo zapojeno do a únik dat.
The Byl jsem Pwned Webová stránka (HIBP) obsahuje více než 10 miliard souborů porušených přihlašovacích údajů. S tak vysokými hodnotami je pravděpodobné, že někdo jiný použil stejné heslo jako vy. To znamená, že vaše heslo může být v databázi, i když to nebyl váš účet, který byl prolomen.
Pokud je vaše heslo na webu HIBP, znamená to, že je na seznamu aktérů ohrožení hesly hrubou silou a slovníkovým útokem nástroje, které používají, když se snaží prolomit účet.
Opravdu náhodné heslo (např [email protected]%*[email protected]#b~aP) je prakticky nezranitelný, ale samozřejmě byste si to nikdy nepamatovali. Důrazně doporučujeme používat správce hesel pro online účty. Generují složitá, náhodná hesla pro všechny vaše online účty a vy si je nemusíte pamatovat – správné heslo vám dodá správce hesel.
Pro místní účty si každý musí vygenerovat své vlastní heslo. Budou také potřebovat vědět, co je přijatelné heslo a co ne. Musí jim být řečeno, aby znovu nepoužívali hesla na jiných účtech a tak dále.
Tyto informace jsou obvykle uvedeny v zásadách hesel organizace. Instruuje lidi, aby používali minimální počet znaků, míchali velká a malá písmena, používali symboly a interpunkci a tak dále.
Nicméně, podle zbrusu nový papírr z týmu v Univerzita Carnegie Mellon, všechny tyto triky přidávají málo nebo vůbec nic k robustnosti hesla. Výzkumníci zjistili, že dva klíčové faktory pro robustnost hesla jsou, že mají alespoň 12 znaků a jsou dostatečně silné. Měřili sílu hesla pomocí řady softwarových crackerů, statistických technik a neuronových sítí.
Minimální počet 12 znaků může zpočátku znít skličujícím způsobem. Nemyslete však na heslo, ale spíše na přístupovou frázi tří nebo čtyř nesouvisejících slov oddělených interpunkcí.
Například, Experte Kontrola hesel řekl, že rozlousknutí „chicago99“ by trvalo 42 minut, ale rozlousknutí „chimney.purple.bag“ 400 miliard let. Je také snadno zapamatovatelná a typická a obsahuje pouze 18 znaků.
Kontrola aktuálního nastavení
Než začnete měnit cokoli související s heslem osoby, je rozumné podívat se na její aktuální nastavení. Pomocí příkazu passwd můžete zkontrolovat jejich aktuální nastavení s možností -S (stav). Pamatujte, že pokud pracujete s nastavením hesla někoho jiného, musíte také použít sudo s passwd.
Zadáme následující:
sudo passwd -S mary
V okně terminálu se vytiskne jeden řádek informací, jak je znázorněno níže.
V této stručné odpovědi vidíte následující informace (zleva doprava):
Přihlašovací jméno osoby.
Zde se objeví jeden z následujících tří možných indikátorů:
P: Označuje, že účet má platné funkční heslo.
L: Znamená, že účet byl uzamčen vlastníkem účtu root.
NP: Nebylo nastaveno heslo.
Datum poslední změny hesla.
Minimální stáří hesla: Minimální doba (ve dnech), která musí uplynout mezi resetováním hesla provedeným vlastníkem účtu. Vlastník účtu root však může kdykoli komukoli změnit heslo. Pokud je tato hodnota 0 (nula), není frekvence změn hesla omezena.
Maximální stáří hesla: Majitel účtu je vyzván ke změně hesla, když dosáhne tohoto věku. Tato hodnota se udává ve dnech, takže hodnota 99 999 znamená, že platnost hesla nikdy nevyprší.
Období upozornění na změnu hesla: Pokud je vynuceno maximální stáří hesla, vlastník účtu obdrží připomenutí, aby si své heslo změnil. První z nich bude odeslán počet dní před datem resetování.
Doba nečinnosti pro heslo: Pokud někdo nepřistoupí do systému po dobu, která překračuje lhůtu pro resetování hesla, heslo této osoby se nezmění. Tato hodnota udává, kolik dní následuje doba odkladu po datu vypršení platnosti hesla. Pokud účet zůstane neaktivní tento počet dní po vypršení platnosti hesla, je účet uzamčen. Hodnota -1 deaktivuje dobu odkladu.
Nastavení maximálního stáří hesla
Chcete-li nastavit období pro resetování hesla, můžete použít volbu -x (maximální počet dní) s počtem dní. Mezi -x a číslicemi nenecháváte mezeru, takže ji zadáte následovně:
sudo passwd -x45 mary
Bylo nám řečeno, že hodnota vypršení platnosti byla změněna, jak je uvedeno níže.
Pomocí volby -S (stav) zkontrolujte, zda je hodnota nyní 45:
sudo passwd -S mary
Nyní, za 45 dní, musí být pro tento účet nastaveno nové heslo. Upomínky začnou sedm dní před tím. Pokud nové heslo nenastavíte včas, bude tento účet okamžitě uzamčen.
Vynucení okamžité změny hesla
Můžete také použít příkaz, takže ostatní ve vaší síti budou muset změnit svá hesla při příštím přihlášení. Chcete-li to provést, použijte volbu -e (vyprší) takto:
sudo passwd -e mary
Poté nám bylo sděleno, že informace o vypršení platnosti hesla se změnily.
Zkontrolujeme volbu -S a uvidíme, co se stalo:
sudo passwd -S mary
Datum poslední změny hesla je nastaveno na první den roku 1970. Až se tato osoba příště pokusí přihlásit, bude si muset heslo změnit. Musí také poskytnout své aktuální heslo, než zadají nové.
Měli byste vynutit změny hesla?
Nutit lidi, aby si pravidelně měnili hesla, býval zdravý rozum. Byl to jeden z rutinních bezpečnostních kroků pro většinu instalací a považoval se za dobrou obchodní praxi.
Myšlení je nyní zcela opačné. Ve Spojeném království, Národní centrum kybernetické bezpečnosti důrazně doporučuje proti vynucování pravidelného obnovování heslaa Národní institut pro standardy a technologie v USA souhlasí. Obě organizace doporučují vynutit si změnu hesla pouze v případě, že o nějakém víte nebo máte podezření, že je známý ostatními.
Nutit lidi ke změně hesla se stává monotónní a podporuje slabá hesla. Lidé obvykle začnou znovu používat základní heslo s datem nebo jiným číslem. Nebo si je zapíšou, protože je musí tak často měnit, že si je nepamatují.
Dvě organizace, které jsme zmínili výše, doporučují pro zabezpečení hesel následující pokyny:
Použijte správce hesel: Pro online i místní účty.
Zapněte dvoufaktorové ověřování: Kdekoli je tato možnost, použijte ji.
Použijte silnou přístupovou frázi: Vynikající alternativa pro účty, které nebudou fungovat se správcem hesel. Tři nebo více slov oddělených interpunkcí nebo symboly je dobrou šablonou, kterou je třeba dodržovat.
Nikdy znovu nepoužívejte heslo: Nepoužívejte stejné heslo, jaké používáte pro jiný účet, a rozhodně nepoužívejte heslo uvedené na Byl jsem Pwned.
Výše uvedené tipy vám umožní vytvořit bezpečný způsob přístupu k vašim účtům. Jakmile budete mít tyto pokyny na místě, držte se jich. Proč si měnit heslo, když je silné a bezpečné? Pokud se dostane do nesprávných rukou – nebo máte podezření, že ano – můžete to změnit.
Někdy se vám však toto rozhodnutí vymklo z rukou. Pokud se pravomoci, které mají vynucovat heslo, změní, nemáte moc na výběr. Můžete hájit svůj případ a dát najevo svou pozici, ale pokud nejste šéf, budete muset dodržovat firemní zásady.
Příkaz změny
Můžeš použít příkaz změny změnit nastavení týkající se stárnutí hesla. Tento příkaz dostal svůj název od „změnit stárnutí“. Je to jako příkaz passwd s odstraněnými prvky pro vytváření hesla.
Volba -l (seznam) poskytuje stejné informace jako příkaz passwd -S, ale přívětivějším způsobem.
Zadáme následující:
sudo chage -l eric
Dalším úhledným dotykem je, že můžete nastavit datum vypršení platnosti účtu pomocí možnosti -E (expiry). Předáme datum (ve formátu rok-měsíc-datum), kterým nastavíme datum vypršení platnosti 30. listopadu 2020. K tomuto datu bude účet uzamčen.
Zadáme následující:
sudo chage eric -E 2020-11-30
Dále zadáme následující, abychom se ujistili, že tato změna byla provedena:
sudo chage -l eric
Vidíme, že datum vypršení platnosti účtu se změnilo z „nikdy“ na 30. listopadu 2020.
Chcete-li nastavit dobu vypršení platnosti hesla, můžete použít volbu -M (maximální počet dní) spolu s maximálním počtem dní, po které lze heslo používat, než bude muset být změněno.
Zadáme následující:
sudo chage -M 45 mary
Zadáme následující pomocí volby -l (seznam), abychom viděli účinek našeho příkazu:
sudo chage -l mary
Datum vypršení platnosti hesla je nyní nastaveno na 45 dní od data, kdy jsme jej nastavili, což, jak je ukázáno, bude 8. prosince 2020.
Provádění změn hesla pro každého v síti
Při vytváření účtů se pro hesla používá sada výchozích hodnot. Můžete definovat, jaké jsou výchozí hodnoty pro minimální, maximální a varovné dny. Ty jsou pak uloženy v souboru s názvem „/etc/login.defs“.
Chcete-li tento soubor otevřít v gedit, můžete zadat následující:
sudo gedit /etc/login.defs
Přejděte na ovládací prvky stárnutí hesla.
Můžete je upravit podle svých požadavků, uložit změny a poté zavřít editor. Při příštím vytvoření uživatelského účtu budou použity tyto výchozí hodnoty.
Pokud chcete změnit všechna data vypršení platnosti hesla pro stávající uživatelské účty, můžete to snadno udělat pomocí skriptu. Jednoduše zadejte následující pro otevření editoru gedit a vytvořte soubor s názvem „password-date.sh“:
sudo gedit password-date.sh
Dále zkopírujte následující text do svého editoru, uložte soubor a poté zavřete gedit:
#!/bin/bash reset_days=28 for username in $(ls /home) do sudo chage $username -M $reset_days echo $username password expiry changed to $reset_days done
Tím se změní maximální počet dní pro každý uživatelský účet na 28, a tedy i frekvence resetování hesla. Hodnotu proměnné reset_days můžete upravit tak, aby vyhovovala.
Nejprve napíšeme následující, aby byl náš skript spustitelný:
chmod +x password-date.sh
Nyní můžeme napsat následující pro spuštění našeho skriptu:
sudo ./password-date.sh
Každý účet je poté zpracován, jak je uvedeno níže.
Abychom zkontrolovali, zda na účtu není „mary“, zadáme následující:
sudo change -l mary
Maximální hodnota dnů byla nastavena na 28 a bylo nám řečeno, že připadne na 21. listopadu 2020. Můžete také snadno upravit skript a přidat další příkazy chage nebo passwd.
Správa hesel je něco, co je třeba brát vážně. Nyní máte nástroje, které potřebujete k převzetí kontroly.