Idea central:
* Vestimato basado en el tiempo: Después de un cierto número de días (definido por el administrador del sistema), la contraseña de un usuario se vuelve "antigua" y requiere que lo cambien en su próximo inicio de sesión.
Cómo funciona (atributos clave):
* `edad` en`/etc/shadow`: La implementación más común se gestiona a través del archivo `/etc/shadow` (que almacena la información de contraseña de forma segura). Este archivo contiene atributos relacionados con el envejecimiento de la contraseña para cada usuario. Los atributos clave que puede ver son:
* `last_changed` (último cambio de cambio): El número de días desde la época (1 de enero de 1970) cuando la contraseña cambió por última vez. Este es el punto de partida para calcular el envejecimiento.
* `min_days` (edad mínima de contraseña): El número mínimo de días que debe pasar * antes de * un usuario puede cambiar su contraseña nuevamente. Esto evita que los usuarios vuelvan inmediatamente a una contraseña antigua y potencialmente comprometida.
* `max_days` (edad máxima de contraseña): El número máximo de días que una contraseña puede ser válida. Después de estos días, el usuario se ve obligado a cambiarlo en el siguiente inicio de sesión.
* `warn_days` (período de advertencia): El número de días * antes * El vencimiento de `max_days` de que el usuario comenzará a recibir advertencias sobre su contraseña expirada. Esto les da tiempo para cambiarlo convenientemente.
* `inactive_days` (período de inactividad): El número de días después de que expire una contraseña que la cuenta está deshabilitada. Bloquea efectivamente al usuario.
* `expire_date` (fecha de vencimiento de la cuenta): Una fecha fija (días desde la época) cuando toda la cuenta se vuelve inutilizable. Este es un concepto separado pero a menudo utilizado junto con el envejecimiento de la contraseña para administrar cuentas temporales.
* `Flag`: Un indicador que se puede usar para deshabilitar la función de envejecimiento de contraseña o para forzar un cambio de contraseña en el siguiente inicio de sesión.
* `passwd` comando: Los usuarios y administradores generalmente usan el comando `passWD` para cambiar las contraseñas. Cuando un usuario cambia su contraseña, se actualiza la fecha `last_changed` en`/etc/shadow`.
* Proceso de inicio de sesión: Cuando un usuario intenta iniciar sesión, el sistema verifica la fecha `last_changed` contra los valores 'max_days` y` warn_days` en `/etc/shadow`. Si la contraseña ha expirado, se le solicita al usuario que la cambie * antes * puede acceder a su cuenta. Si la contraseña se acerca al vencimiento, se muestra un mensaje de advertencia.
Ejemplo:
Digamos que `/etc/shadow` tiene la siguiente entrada (simplificada) para un usuario llamado" John ":
`` `` ``
John:$ 6 $ Somesalt $ Hashstring:19400:7:90:7:-1 :::
`` `` ``
Aquí le mostramos cómo interpretar esto (suponiendo los significados estándar de los campos):
* `John`:nombre de usuario.
* `$ 6 $ somesalt $ hashstring`:contraseña hash.
* `19400`:` last_changed` (días desde la época).
* `7`:` Min_days` (debe esperar al menos 7 días antes de volver a cambiar).
* `90`:` max_days` (la contraseña expira después de 90 días).
* `7`:` Warn_days` (advierta al usuario 7 días antes de la expiración).
* `-1`:` inactive_days` (deshabilitado). No se usa en este ejemplo.
* `:::` - Fecha de vencimiento de la cuenta (vacía, lo que significa que no hay vencimiento de la cuenta)
Esto significa:
1. John cambió por última vez su contraseña el día de 19400 (desde la época).
2. Debe esperar al menos 7 días antes de cambiarlo nuevamente.
3. Su contraseña caducará 90 días después de 19400.
4. Se le advertirá sobre el vencimiento 7 días antes de esa fecha de vencimiento.
Herramientas para la gestión:
* `passwd` comando: Como se mencionó, los usuarios y administradores usan `passWD` para cambiar las contraseñas.
* `CHAGE` comando: El comando `CHAGE` (Cambio de edad) está específicamente diseñado para administrar los parámetros de envejecimiento de contraseña en`/etc/shadow`. Los administradores lo usan para establecer el `min_days`,` max_days`, `warn_days`, etc., para usuarios individuales.
* PAM (módulos de autenticación conectables): PAM es un marco que le permite personalizar los mecanismos de autenticación. El envejecimiento de la contraseña generalmente se maneja a través de módulos PAM, que proporcionan flexibilidad en cómo se implementa. Configuras PAM en archivos en `/etc/pam.d/`.
* `/etc/login.defs`: Este archivo establece los valores predeterminados de todo el sistema para el envejecimiento de la contraseña y otros parámetros relacionados con el inicio de sesión. Los valores establecidos aquí a menudo se usan como punto de partida a menos que se anule la configuración específica del usuario en `/etc/shadow`.
¿Por qué usar el envejecimiento de la contraseña?
* Mitigante de la contraseña agrietamiento: Incluso si una contraseña es débil o comprometida a través de ataques de fuerza bruta o ataques de diccionario, eventualmente se cambiará, lo que limita la ventana de oportunidad del atacante.
* Reduzca el impacto de las contraseñas reutilizadas: Muchos usuarios reutilizan las contraseñas en múltiples cuentas. Si un servicio se ve comprometido, las contraseñas del usuario en otros servicios están en riesgo. Los cambios de contraseña regulares pueden ayudar a mitigar esto.
* Cumplimiento: Muchas políticas y regulaciones de seguridad requieren el envejecimiento de la contraseña como una mejor práctica de seguridad.
* amenazas internos: El envejecimiento de la contraseña puede ayudar a mitigar los riesgos de empleados descontentos o anteriores que podrían conocer una contraseña.
Desventajas:
* molestia del usuario: Los usuarios a menudo encuentran que los cambios de contraseña frecuentes son molestos, lo que lleva a:
* Contraseñas predecibles: Los usuarios pueden simplemente incrementar un número al final de su contraseña, haciéndolos fácilmente predecibles.
* Post-it Notes: Escribir contraseñas derrota el propósito.
* Fatiga de contraseña: Los usuarios pueden olvidar sus contraseñas con más frecuencia, aumentando las llamadas de la mesa de ayuda.
* no aborda el phishing o la ingeniería social: El envejecimiento de la contraseña solo no protegerá contra los usuarios que regalan sus contraseñas de buena gana.
Consideraciones modernas (más allá del envejecimiento de la contraseña tradicional):
Si bien el envejecimiento de la contraseña ha sido una práctica de seguridad de larga data, las recomendaciones modernas a menudo sugieren un cambio hacia:
* Contraseñas seguras: Haga cumplir los requisitos de complejidad de la contraseña (longitud, tipos de caracteres) y evite que los usuarios usen contraseñas débiles o fácilmente adivinables. Herramientas como los módulos `pwQuality` y PAM ayudan con esto.
* Autenticación multifactor (MFA): Agregue una capa adicional de seguridad más allá de una contraseña (por ejemplo, un código de una aplicación móvil).
* Administradores de contraseñas: Anime a los usuarios a usar administradores de contraseñas para generar y almacenar contraseñas fuertes y únicas para cada cuenta.
* Monitoreo y alerta: Detectar actividad de inicio de sesión sospechosa (por ejemplo, ubicaciones inusuales de inicio de sesión, múltiples intentos de inicio de sesión).
* Detección de contraseña comprometida: Use servicios que detecten si las contraseñas se han filtrado en violaciones de datos y notifique a los usuarios que las cambien.
El envejecimiento de la contraseña, por sí mismo, ya no se considera una solución de seguridad completa, pero aún puede ser un componente útil en una estrategia de seguridad más amplia, especialmente cuando se combina con otras mejores prácticas. El mejor enfoque depende de las necesidades de seguridad específicas y la tolerancia al riesgo de la organización.