Core Idea:
* Λήξη βάσει χρόνου: Μετά από έναν ορισμένο αριθμό ημερών (που ορίζεται από τον διαχειριστή του συστήματος), ο κωδικός πρόσβασης ενός χρήστη γίνεται "παλιός" και απαιτεί να το αλλάξουν κατά την επόμενη σύνδεσή τους.
Πώς λειτουργεί (βασικά χαρακτηριστικά):
* `age` in`/etc/shadow`: Η πιο συνηθισμένη εφαρμογή διαχειρίζεται μέσω του αρχείου `/etc/shadow` (το οποίο αποθηκεύει με ασφάλεια τις πληροφορίες κωδικού πρόσβασης). Αυτό το αρχείο περιέχει χαρακτηριστικά που σχετίζονται με τη γήρανση του κωδικού πρόσβασης για κάθε χρήστη. Τα βασικά χαρακτηριστικά που μπορείτε να δείτε είναι:
* `last_changed` (τελευταία ημερομηνία αλλαγής): Ο αριθμός των ημερών από την εποχή (1 Ιανουαρίου 1970) όταν ο κωδικός πρόσβασης άλλαξε τελευταία. Αυτό είναι το σημείο εκκίνησης για τον υπολογισμό της γήρανσης.
* `min_days` (ελάχιστη ηλικία κωδικού πρόσβασης): Ο ελάχιστος αριθμός ημερών που πρέπει να περάσουν * πριν * επιτρέπεται ένας χρήστης να αλλάξει ξανά τον κωδικό πρόσβασής του. Αυτό εμποδίζει τους χρήστες να επιστρέψουν αμέσως σε έναν παλιό, ενδεχομένως συμβιβασμένο κωδικό πρόσβασης.
* `max_days` (μέγιστη ηλικία κωδικού πρόσβασης): Ο μέγιστος αριθμός ημερών που μπορεί να ισχύει ένας κωδικός πρόσβασης. Μετά από πολλές ημέρες, ο χρήστης αναγκάζεται να το αλλάξει στην επόμενη σύνδεση.
* `warn_days` (προειδοποιητική περίοδος): Ο αριθμός των ημερών * πριν από τη λήξη του `max_days` ότι ο χρήστης θα αρχίσει να λαμβάνει προειδοποιήσεις σχετικά με τον κωδικό πρόσβασής του. Αυτό τους δίνει χρόνο να το αλλάξουν βολικά.
* `inactive_days` (περίοδος αδράνειας): Ο αριθμός των ημερών μετά τον κωδικό πρόσβασης λήγει ότι ο λογαριασμός είναι απενεργοποιημένος. Κλειδώνει αποτελεσματικά τον χρήστη.
* `expire_date` (ημερομηνία λήξης λογαριασμού): Μια καθορισμένη ημερομηνία (ημέρες από την εποχή) όταν ολόκληρος ο λογαριασμός γίνεται άχρηστος. Αυτή είναι μια ξεχωριστή ιδέα, αλλά συχνά χρησιμοποιείται σε συνδυασμό με τη γήρανση του κωδικού πρόσβασης για τη διαχείριση προσωρινών λογαριασμών.
* `flag`: Μια σημαία που μπορεί να χρησιμοποιηθεί για την απενεργοποίηση της λειτουργίας γήρανσης του κωδικού πρόσβασης ή για να αναγκάσει μια αλλαγή κωδικού πρόσβασης στην επόμενη σύνδεση.
* `passwd` command: Οι χρήστες και οι διαχειριστές χρησιμοποιούν συνήθως την εντολή `passwd` για να αλλάξουν τους κωδικούς πρόσβασης. Όταν ένας χρήστης αλλάζει τον κωδικό πρόσβασής του, ενημερώνεται η ημερομηνία `last_changed 'σε`/etc/shadow`.
* Διαδικασία σύνδεσης: Όταν ένας χρήστης προσπαθεί να συνδεθεί, το σύστημα ελέγχει την ημερομηνία `last_changed` έναντι των τιμών` max_days` και `warn_days` σε`/etc/shadow '. Εάν ο κωδικός πρόσβασης έχει λήξει, ο χρήστης καλείται να τον αλλάξει * πριν * μπορεί να έχει πρόσβαση στον λογαριασμό του. Εάν ο κωδικός πρόσβασης πλησιάζει τη λήξη, εμφανίζεται ένα προειδοποιητικό μήνυμα.
Παράδειγμα:
Ας πούμε ότι το `/etc/shadow` έχει την ακόλουθη (απλοποιημένη) καταχώρηση για έναν χρήστη που ονομάζεται" John ":
`` `
John:$ 6 $ Somesalt $ Hashstring:19400:7:90:7:-1 :::
`` `
Εδώ είναι πώς να ερμηνεύσετε αυτό (υποθέτοντας τις συνήθεις έννοιες των πεδίων):
* `John`:Όνομα χρήστη.
* `$ 6 $ somesalt $ hashstring`:κωδικός πρόσβασης.
* `19400`:` last_changed` (ημέρες από την εποχή).
* `7`:` min_days` (πρέπει να περιμένετε τουλάχιστον 7 ημέρες πριν αλλάξετε ξανά).
* `90`:` max_days` (ο κωδικός πρόσβασης λήγει μετά από 90 ημέρες).
* `7`:` warn_days` (προειδοποιήστε τον χρήστη 7 ημέρες πριν από τη λήξη).
* `-1`:` inactive_days` (απενεργοποιημένο). Δεν χρησιμοποιείται σε αυτό το παράδειγμα.
* `:::` - Ημερομηνία λήξης του λογαριασμού (άδειο, δηλαδή καμία λήξη λογαριασμού)
Αυτό σημαίνει:
1. Ο John τελευταία άλλαξε τον κωδικό πρόσβασής του την ημέρα του 19400 (από την εποχή).
2 πρέπει να περιμένει τουλάχιστον 7 ημέρες πριν το αλλάξει ξανά.
3. Ο κωδικός πρόσβασής του θα λήξει 90 ημέρες μετά το 19400.
4. Θα προειδοποιηθεί για τη λήξη 7 ημέρες πριν από την ημερομηνία λήξης.
Εργαλεία διαχείρισης:
* `passwd` command: Όπως αναφέρθηκε, οι χρήστες και οι διαχειριστές χρησιμοποιούν `passwd` για να αλλάξουν τους κωδικούς πρόσβασης.
* `εντολή chage`: Η εντολή `chage` (αλλαγή ηλικίας) έχει σχεδιαστεί ειδικά για τη διαχείριση των παραμέτρων γήρανσης του κωδικού πρόσβασης σε`/etc/shadow '. Οι διαχειριστές το χρησιμοποιούν για να ρυθμίσουν το `min_days`,` max_days`, `warn_days` κλπ. Για μεμονωμένους χρήστες.
* PAM (Μονάδες ελέγχου ταυτότητας): Το PAM είναι ένα πλαίσιο που σας επιτρέπει να προσαρμόσετε τους μηχανισμούς ελέγχου ταυτότητας. Η γήρανση του κωδικού πρόσβασης χειρίζεται συνήθως μέσω μονάδων PAM, οι οποίες παρέχουν ευελιξία στον τρόπο με τον οποίο εφαρμόζεται. Μπορείτε να ρυθμίσετε το PAM σε αρχεία κάτω από `/etc/pam.d/`.
* `/etc/login.defs`: Αυτό το αρχείο ρυθμίζει τις προεπιλογές σε όλο το σύστημα για τη γήρανση του κωδικού πρόσβασης και άλλες παραμέτρους που σχετίζονται με τη σύνδεση. Οι τιμές που ορίζονται εδώ χρησιμοποιούνται συχνά ως σημείο εκκίνησης, εκτός εάν αντικατασταθεί από συγκεκριμένες ρυθμίσεις χρήστη σε `/etc/shadow '.
Γιατί να χρησιμοποιήσετε τη γήρανση του κωδικού πρόσβασης;
* μετριάστε τη ρωγμή κωδικού πρόσβασης: Ακόμη και αν ένας κωδικός πρόσβασης είναι αδύναμος ή συμβιβασμένος μέσω επιθέσεων βίαιης δύναμης ή επιθέσεων λεξικού, τελικά θα αλλάξει, περιορίζοντας το παράθυρο ευκαιρίας του επιτιθέμενου.
* Μειώστε τον αντίκτυπο των επαναχρησιμοποιημένων κωδικών πρόσβασης: Πολλοί χρήστες επαναχρησιμοποιούν τους κωδικούς πρόσβασης σε πολλούς λογαριασμούς. Εάν μια υπηρεσία διακυβεύεται, οι κωδικοί πρόσβασης του χρήστη σε άλλες υπηρεσίες βρίσκονται σε κίνδυνο. Οι τακτικές αλλαγές κωδικού πρόσβασης μπορούν να βοηθήσουν στην άμβλυνση αυτού.
* Συμμόρφωση: Πολλές πολιτικές και κανονισμοί ασφαλείας απαιτούν τη γήρανση του κωδικού πρόσβασης ως βέλτιστη πρακτική ασφαλείας.
* Απειλές εμπιστευτικών: Η γήρανση του κωδικού πρόσβασης μπορεί να βοηθήσει στην άμβλυνση των κινδύνων από δυσαρεστημένους ή πρώην υπαλλήλους που μπορεί να γνωρίζουν έναν κωδικό πρόσβασης.
Μειονεκτήματα:
* ενόχληση χρήστη: Οι χρήστες συχνά βρίσκουν συχνές αλλαγές κωδικού πρόσβασης ενοχλητικές, οδηγώντας σε:
* προβλέψιμοι κωδικοί πρόσβασης: Οι χρήστες ενδέχεται απλώς να αυξήσουν έναν αριθμό στο τέλος του κωδικού πρόσβασής τους, καθιστώντας τους εύκολα προβλέψιμα.
* ΣΗΜΕΙΩΣΕΙΣ POST-IT: Η σύνταξη κωδικών πρόσβασης καταρρέει τον σκοπό.
* Κόπωση κωδικού πρόσβασης: Οι χρήστες μπορούν να ξεχνούν τους κωδικούς πρόσβασής τους συχνότερα, αυξάνοντας τις κλήσεις γραφείου βοήθειας.
* Δεν αντιμετωπίζει το ψαρέμα ή την κοινωνική μηχανική: Μόνο η γήρανση του κωδικού πρόσβασης δεν θα προστατεύσει από τους χρήστες που δίνουν πρόθυμα τους κωδικούς πρόσβασης.
Σύγχρονες σκέψεις (πέρα από την παραδοσιακή γήρανση του κωδικού πρόσβασης):
Ενώ η γήρανση του κωδικού πρόσβασης ήταν μια μακρόχρονη πρακτική ασφάλειας, οι σύγχρονες συστάσεις συχνά υποδηλώνουν μια στροφή προς:
* Ισχυροί κωδικοί πρόσβασης: Επιβάλει τις απαιτήσεις πολυπλοκότητας κωδικού πρόσβασης (μήκος, τύποι χαρακτήρων) και εμποδίζει τους χρήστες να χρησιμοποιούν αδύναμους ή εύκολα εικαστικούς κωδικούς πρόσβασης. Εργαλεία όπως το "Pwquality` και το Pam Modules βοηθούν με αυτό.
* Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA): Προσθέστε ένα επιπλέον στρώμα ασφάλειας πέρα από έναν κωδικό πρόσβασης (π.χ. έναν κωδικό από μια εφαρμογή για κινητά).
* Διαχειριστές κωδικού πρόσβασης: Ενθαρρύνετε τους χρήστες να χρησιμοποιούν διαχειριστές κωδικών πρόσβασης για να δημιουργήσουν και να αποθηκεύουν ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό.
* Παρακολούθηση και ειδοποίηση: Ανίχνευση ύποπτης δραστηριότητας σύνδεσης (π.χ. ασυνήθιστες θέσεις σύνδεσης, πολλαπλές αποτυχημένες προσπάθειες σύνδεσης).
* Ανίχνευση κωδικού πρόσβασης: Χρησιμοποιήστε υπηρεσίες που ανιχνεύουν εάν οι κωδικοί πρόσβασης έχουν διαρρεύσει σε παραβιάσεις δεδομένων και ειδοποιήστε τους χρήστες να τις αλλάξουν.
Η γήρανση του κωδικού πρόσβασης, από μόνη της, δεν θεωρείται πλέον πλήρης λύση ασφαλείας, αλλά μπορεί να είναι ένα χρήσιμο στοιχείο σε μια ευρύτερη στρατηγική ασφάλειας, ειδικά όταν συνδυάζεται με άλλες βέλτιστες πρακτικές. Η καλύτερη προσέγγιση εξαρτάται από τις συγκεκριμένες ανάγκες ασφαλείας και την ανοχή κινδύνου του οργανισμού.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα