Idea principale:
* Scadenza basata sul tempo: Dopo un certo numero di giorni (definiti dall'amministratore di sistema), la password di un utente diventa "vecchia" e richiede loro di cambiarlo al momento del prossimo accesso.
come funziona (attributi chiave):
* `Age` in`/etc/shadow`: L'implementazione più comune è gestita tramite il file `/etc/shadow` (che memorizza in modo sicuro le informazioni sulla password). Questo file contiene attributi relativi all'invecchiamento della password per ciascun utente. Gli attributi chiave che potresti vedere sono:
* `last_changed` (ultima data di modifica): Il numero di giorni dall'epoca (1 gennaio 1970) quando la password è stata modificata l'ultima volta. Questo è il punto di partenza per il calcolo dell'invecchiamento.
* `min_days` (età della password minima): Il numero minimo di giorni che devono passare * prima che * un utente sia autorizzato a cambiare nuovamente la propria password. Ciò impedisce agli utenti di tornare immediatamente a una password vecchia e potenzialmente compromessa.
* `max_days` (età massima password): Il numero massimo di giorni in cui una password può essere valida. Dopo questi giorni, l'utente è costretto a cambiarlo al prossimo accesso.
* `warn_days` (periodo di avviso): Il numero di giorni * prima * la scadenza `max_days` che l'utente inizierà a ricevere avvertimenti sulla loro password in scadenza. Questo dà loro il tempo di cambiarlo comodamente.
* `Inactive_Days` (periodo di inattività): Il numero di giorni dopo la scadenza della password è disabilitato. Blocca efficacemente l'utente.
* `scade_date` (data di scadenza dell'account): Una data fissa (giorni dalla epoca) quando l'intero account diventa inutilizzabile. Questo è un concetto separato ma spesso utilizzato insieme all'invecchiamento della password per gestire account temporanei.
* `flag`: Un flag che può essere utilizzato per disabilitare la funzione di invecchiamento della password o per forzare una modifica della password sul login successivo.
* `Passwd` Comando: Gli utenti e gli amministratori in genere utilizzano il comando `passwd` per modificare le password. Quando un utente cambia la propria password, viene aggiornata la data `last_changed` in`/etc/shadow`.
* Processo di accesso: Quando un utente tenta di accedere, il sistema controlla la data `last_changed` rispetto ai valori` max_days` e `warn_days` in`/etc/shadow`. Se la password è scaduta, all'utente viene richiesto di modificarla * prima di poter accedere al proprio account. Se la password si avvicina alla scadenza, viene visualizzato un messaggio di avviso.
Esempio:
Diciamo che `/etc/shadow` ha la seguente voce (semplificata) per un utente chiamato" John ":
`` `
John:$ 6 $ Somesalt $ Hashstring:19400:7:90:7:-1 :::
`` `
Ecco come interpretare questo (supponendo i significati standard dei campi):
* `John`:nome utente.
* `$ 6 $ $ Somesalt $ hashstring`:hash password.
* `19400`:` last_changed` (giorni dall'epoca).
* `7`:` min_days` (deve attendere almeno 7 giorni prima di cambiare di nuovo).
* `90`:` max_days` (la password scade dopo 90 giorni).
* `7`:` warn_days` (avvertire l'utente 7 giorni prima della scadenza).
* `-1`:` inactive_days` (disabilitato). Non usato in questo esempio.
* `:::` - Data di scadenza dell'account (vuoto, che significa nessuna scadenza del conto)
Questo significa:
1. John ha cambiato l'ultima volta la sua password il giorno 19400 (dall'epoca).
2. Deve aspettare almeno 7 giorni prima di cambiarlo di nuovo.
3. La sua password scadrà 90 giorni dopo il 19400.
4. Sarà avvertito della scadenza 7 giorni prima di quella data di scadenza.
Strumenti per la gestione:
* `Passwd` Comando: Come accennato, gli utenti e gli amministratori usano `passwd` per modificare le password.
* comando Chage`: Il comando `Chage` (modifica dell'età) è specificamente progettato per gestire i parametri di invecchiamento della password in`/etc/shadow`. Gli amministratori lo usano per impostare `Min_days`,` max_days`, `warn_days`, ecc., Per i singoli utenti.
* PAM (moduli di autenticazione collegabile): PAM è un framework che consente di personalizzare i meccanismi di autenticazione. L'invecchiamento della password viene in genere gestito tramite moduli PAM, che forniscono flessibilità nel modo in cui è implementato. Si configura PAM nei file in `/etc/pam.d/`.
* `/etc/login.defs`: Questo file imposta le impostazioni predefinite a livello di sistema per l'invecchiamento della password e altri parametri relativi all'accesso. I valori impostati qui sono spesso usati come punto di partenza a meno che non siano sovrascritti da impostazioni utente specifiche in `/etc/shadow`.
Perché utilizzare l'invecchiamento della password?
* Mitigare la cracking della password: Anche se una password è debole o compromessa attraverso attacchi di forza bruta o attacchi di dizionario, alla fine verrà modificata, limitando la finestra di opportunità dell'attaccante.
* Riduci l'impatto delle password riutilizzate: Molti utenti riutilizzano le password su più account. Se un servizio è compromesso, le password dell'utente su altri servizi sono a rischio. Le normali modifiche alla password possono aiutare a mitigare questo.
* Conformità: Molte politiche e regolamenti di sicurezza richiedono l'invecchiamento della password come best practice di sicurezza.
* minacce insider: L'invecchiamento della password può aiutare a mitigare i rischi da dipendenti scontenti o ex che potrebbero conoscere una password.
Svantaggi:
* fastidio utente: Gli utenti spesso trovano frequenti modifiche a password fastidiose, portando a:
* Password prevedibili: Gli utenti potrebbero semplicemente incrementare un numero alla fine della loro password, rendendoli facilmente prevedibili.
* Note post-it: Scrivere password sconfigge lo scopo.
* Fatica password: Gli utenti possono dimenticare le loro password più spesso, aumentando le chiamate dell'help desk.
* non affronta il phishing o l'ingegneria sociale: L'invecchiamento della password da sola non protegge contro gli utenti che regalano volentieri le loro password.
Considerazioni moderne (oltre l'invecchiamento della password tradizionale):
Mentre l'invecchiamento della password è stata una pratica di sicurezza di lunga data, le consigli moderni spesso suggeriscono uno spostamento verso:
* Password forti: Applicare i requisiti di complessità delle password (lunghezza, tipi di caratteri) e impedire agli utenti di utilizzare password deboli o facilmente indovinabili. Strumenti come i moduli `pwquality` e PAM aiutano con questo.
* Autenticazione a più fattori (MFA): Aggiungi un ulteriore livello di sicurezza oltre una sola password (ad esempio un codice da un'app mobile).
* Manager di password: Incoraggia gli utenti a utilizzare i gestori di password per generare e archiviare password univoci e forti per ogni account.
* Monitoraggio e avviso: Rileva un'attività di accesso sospettosa (ad es. Posizioni di accesso insolite, più tentativi di accesso non riusciti).
* Rilevamento di password compromesso: Utilizzare i servizi che rilevano se le password sono state trapelate nelle violazioni dei dati e avvisano gli utenti di modificarli.
L'invecchiamento della password, da sola, non è più considerata una soluzione di sicurezza completa, ma può comunque essere un componente utile in una strategia di sicurezza più ampia, specialmente se combinato con altre migliori pratiche. L'approccio migliore dipende dalle esigenze di sicurezza specifiche e dalla tolleranza al rischio dell'organizzazione.
Domanda © www.354353.com