Hesla jsou základním kamenem zabezpečení účtů již 60 let, téměř o deset let starší než Unix. Naučte se používat příkazový řádek nebo desktopové prostředí GNOME ke správě hesel v Linuxu.
Table of Contents
Jak si vybrat silné heslo
Heslo počítače se zrodilo z nutnosti. S příchodem víceuživatelské počítačové systémy se sdílením časuse ukázalo, jak důležité je oddělovat a chránit data lidí, a heslo tento problém vyřešilo.
Hesla jsou stále nejběžnější formou ověřování účtu. Dvoufaktorové a vícefaktorové ověřování zvyšuje ochranu heslem a biometrické ověřování poskytuje alternativní způsob identifikace. Staré dobré heslo je však stále s námi a ještě dlouho bude. To znamená, že musíte vědět, jak je nejlépe vytvořit a používat. Některé ze starších praktik již neplatí.
Zde jsou některá základní pravidla hesla:
Vůbec nepoužívejte hesla: Používejte místo nich přístupové fráze. Tři nebo čtyři nesouvisející slova spojená interpunkčními znaménky, symboly nebo čísly způsobují, že je mnohem obtížnější je rozluštit než řetězec žvýkaných nebo heslo se samohláskami zaměněnými za čísla.
Nepoužívejte znovu hesla: Nedělejte to na stejných nebo různých systémech.
Nesdílejte svá hesla: Hesla jsou soukromá. Nesdílejte je s ostatními.
Nezakládejte hesla na osobně důležitých informacích: Nepoužívejte jména členů rodiny, sportovní týmy, oblíbené kapely ani nic jiného, co by mohlo být společensky navrženo nebo odvozeno z vašich sociálních médií.
Nepoužívejte hesla vzorů: Nezakládejte hesla na vzorech nebo pozicích klíčů, jako je qwerty, 1q2w3e a tak dále.
Zásady vypršení platnosti hesla již nejsou osvědčeným postupem. Pokud přijmete silné a bezpečné přístupové fráze, budete je muset změnit pouze v případě, že máte podezření, že byly kompromitovány. Pravidelné změny hesla neúmyslně podporují špatný výběr hesla, protože mnoho lidí používá základní heslo a na jeho konec stačí přidat datum nebo číslici.
The Národní institut pro standardy a technologie rozsáhle psal o heslech a identifikaci a ověřování uživatelů. Jejich komentáře jsou veřejně dostupné v Speciální publikace 800-63-3: Pokyny pro digitální autentizaci.
Soubor passwd
Historicky operační systémy podobné Unixu ukládaly hesla spolu s dalšími informacemi o každém účtu do souboru „/etc/passwd“. Dnes soubor „/etc/passwd“ stále obsahuje informace o účtu, ale zašifrovaná hesla jsou uložena v souboru „/etc/shadow“, který má omezený přístup. Naproti tomu se kdokoli může podívat do souboru „/etc/passwd“.
Chcete-li nahlédnout do souboru „/etc/passwd“, zadejte tento příkaz:
less /etc/passwd
Zobrazí se obsah souboru. Podívejme se na podrobnosti o tomto účtu s názvem „Mary“.
Každý řádek představuje jeden účet (nebo program, který má „uživatelský“ účet). Existuje následujících sedm polí oddělených dvojtečkou:
Uživatelské jméno: Přihlašovací jméno k účtu.
Heslo: „x“ znamená, že heslo je uloženo v souboru /etc/shadow.
ID uživatele: The identifikátor uživatele Pro tento účet.
ID skupiny: The identifikátor skupiny Pro tento účet.
GECOS: To znamená General Electric Comprehensive Operation Supervisor. Dnes, pole GECOS obsahuje sadu informací o účtu oddělených čárkami. To může zahrnovat položky, jako je celé jméno osoby, číslo pokoje nebo telefonní čísla do kanceláře a domů.
Home: Cesta k domovskému adresáři účtu.
Shell: Spustí se, když se osoba přihlásí k počítači.
Prázdná pole jsou označena dvojtečkou.
Mimochodem, prstový příkaz získává informace z pole GECOS.
finger mary
Soubor stínů
Chcete-li se podívat do souboru „/etc/shadow“, musíte použít sudo:
sudo less /etc/shadow
Soubor se zobrazí. Pro každou položku v souboru „/etc/passwd“ by měla existovat odpovídající položka v souboru „/etc/shadow“.
Každý řádek představuje jeden účet a je zde devět polí oddělených dvojtečkou:
Uživatelské jméno: Přihlašovací jméno k účtu.
Šifrované heslo: Šifrované heslo pro účet.
Poslední změna: Datum, kdy bylo heslo naposledy změněno.
Minimální dny: Minimální počet dní požadovaných mezi změnami hesla. Osoba musí čekat tento počet dní, než si bude moci změnit heslo. Pokud toto pole obsahuje nulu, může své heslo měnit, jak často chce.
Maximum dní: Maximální počet dní požadovaných mezi změnami hesla. Toto pole obvykle obsahuje velmi velké číslo. Hodnota nastavená pro „mary“ je 99 999 dní, což je více než 27 let.
Dny výstrahy: Počet dní před datem vypršení platnosti hesla pro zobrazení připomenutí.
Resetovat uzamčení: Po vypršení platnosti hesla systém čeká tento počet dní (doba odkladu), než účet deaktivuje.
Datum vypršení platnosti účtu: Datum, kdy se vlastník účtu již nebude moci přihlásit. Pokud je toto pole prázdné, platnost účtu nikdy nevyprší.
Rezervní pole: Prázdné pole pro možné budoucí použití.
Prázdná pole jsou označena dvojtečkou.
Získání pole „Poslední změna“ jako datum
The Unixová epocha začalo 1. ledna 1970. Hodnota pole „Poslední změna“ je 18 209. Toto je počet dní po 1. lednu 1970, kdy bylo změněno heslo k účtu „mary“.
Pomocí tohoto příkazu zobrazíte hodnotu „Poslední změna“ jako datum:
date -d "1970-01-01 18209 days"
Datum se zobrazí jako půlnoc dne, kdy bylo heslo naposledy změněno. V tomto příkladu to bylo 9. listopadu 2019.
Příkaz passwd
Použijete příkaz passwd ke změně hesla, a – pokud máte oprávnění sudo – hesla ostatních.
Chcete-li změnit heslo, použijte příkaz passwd bez parametrů:
passwd
Své aktuální heslo a nové heslo musíte zadat dvakrát.
Změna hesla někoho jiného
Chcete-li změnit heslo jiného účtu, musíte použít sudo a zadat název účtu:
sudo passwd mary
Chcete-li ověřit, že máte oprávnění superuživatele, musíte zadat heslo. Zadejte nové heslo pro účet a poté jej zadejte znovu pro potvrzení.
Vynucení změny hesla
Chcete-li někoho přinutit, aby si při příštím přihlášení změnil heslo, použijte volbu -e (vyprší):
sudo passwd -e mary
Bylo vám řečeno, že datum vypršení platnosti hesla bylo změněno.
Když se majitelka účtu „mary“ příště přihlásí, bude si muset změnit heslo:
Uzamknout účet
Chcete-li zamknout účet, zadejte passwd s volbou -l (lock):
sudo passwd -l mary
Bylo vám řečeno, že datum vypršení platnosti hesla bylo změněno.
Majitelka účtu se již nebude moci přihlásit k počítači pomocí svého hesla. Pro odemknutí účtu použijte volbu -u (odemknout):
sudo passwd -u mary
Znovu jste informováni, že údaje o vypršení platnosti hesla byly změněny:
Majitel účtu se opět nebude moci přihlásit k počítači pomocí svého hesla. Stále se však mohla přihlásit pomocí ověřovací metody, která nevyžaduje její heslo, jako jsou klíče SSH.
Pokud opravdu chcete někomu zamknout přístup k počítači, musíte účet vypršet.
Příkaz změny
Ne, není tam žádné „n“ ve změně. Znamená „změnit věk“. Můžete použít příkaz chage k nastavení datum vypršení platnosti pro celý účet.
Podívejme se na aktuální nastavení účtu „mary“ s volbou -l (seznam):
sudo chage -l mary
Datum vypršení platnosti účtu je nastaveno na „nikdy“.
Chcete-li změnit datum vypršení platnosti, použijte volbu -E (expiry). Pokud jej nastavíte na nulu, bude to interpretováno jako „nula dní od epochy Unixu“, tj. 1. ledna 1970.
Zadejte následující:
sudo chage -E0 mary
Znovu zkontrolujte datum vypršení platnosti účtu:
sudo chage -l mary
Vzhledem k tomu, že datum vypršení platnosti je v minulosti, tento účet je nyní skutečně uzamčen, bez ohledu na jakoukoli metodu ověření, kterou by vlastník mohl použít.
Chcete-li obnovit účet, použijte stejný příkaz s -1 jako číselným parametrem:
sudo chage -E -1 mary
Pro kontrolu zadejte následující:
sudo chage -l mary
Datum vypršení platnosti účtu se resetuje na „nikdy“.
Změna hesla účtu v GNOME
Ubuntu a mnoho dalších distribucí Linuxu používá GNOME jako výchozí desktopové prostředí. Ke změně hesla k účtu můžete použít dialogové okno „Nastavení“.
Chcete-li tak učinit, klikněte v systémové nabídce na ikonu Nastavení.
V dialogovém okně Nastavení klikněte na „Podrobnosti“ v podokně vlevo a poté klikněte na „Uživatelé“.
Klikněte na účet, pro který chcete změnit heslo; v tomto příkladu vybereme „Mary Quinn“. Klikněte na účet a poté klikněte na „Odemknout“.
Budete vyzváni k zadání hesla. Poté, co budete ověřeni, budou údaje „Marie“ upravitelné. Klikněte na pole „Heslo“.
V dialogovém okně „Změnit heslo“ klikněte na přepínač „Nastavit heslo nyní“.
Zadejte nové heslo do polí „Nové heslo“ a „Ověřit nové heslo“.
Pokud se hesla shodují, tlačítko „Změnit“ zezelená; kliknutím na něj uložíte nové heslo.
V jiných desktopových prostředích budou nástroje účtu podobné těm v GNOME.
Zůstaňte v bezpečí, zůstaňte v bezpečí
Už 60 let je heslo nezbytnou součástí zabezpečení online účtu a v dohledné době nezmizí.
To je důvod, proč je důležité je spravovat moudře. Pokud rozumíte mechanismům hesel v Linuxu a osvojíte si osvědčené postupy pro hesla, udržíte svůj systém v bezpečí.