Εάν διαχειρίζεστε ένα σύστημα Linux, μία από τις εργασίες που ίσως χρειαστεί να κάνετε είναι να διαχειριστείτε τους κωδικούς πρόσβασης ρυθμίσεων για λογαριασμούς χρηστών. Ως μέρος αυτής της διαδικασίας, πιθανότατα θα χρειαστεί να διαχειριστείτε τις ρυθμίσεις τόσο για υπάρχοντες όσο και για νέους λογαριασμούς.
Η διαχείριση των ρυθμίσεων κωδικού πρόσβασης για υπάρχοντες λογαριασμούς γίνεται μέσω της εντολής «passwd», αν και υπάρχουν και άλλες εναλλακτικές. Μπορείτε να ορίσετε προεπιλεγμένες ρυθμίσεις για λογαριασμούς που θα δημιουργηθούν στο μέλλον, ωστόσο, εξοικονομώντας σας από τη μη αυτόματη αλλαγή των προεπιλογών για κάθε νέο λογαριασμό.
Οι ρυθμίσεις διαμορφώνονται στο αρχείο ρυθμίσεων "/etc/login.defs". Καθώς το αρχείο βρίσκεται στον κατάλογο "/etc", θα απαιτήσει δικαιώματα root για επεξεργασία. Για να αποφύγετε τυχόν προβλήματα όπου κάνετε αλλαγές και δεν μπορείτε να τις αποθηκεύσετε επειδή δεν έχετε δικαιώματα, βεβαιωθείτε ότι έχετε εκκινήσει το πρόγραμμα επεξεργασίας κειμένου που προτιμάτε με το sudo.
Η ενότητα που θέλετε βρίσκεται κοντά στη μέση του αρχείου και έχει τίτλο "Στοιχεία ελέγχου γήρανσης κωδικού πρόσβασης". Σε αυτό υπάρχουν τρεις ρυθμίσεις, "PASS_MAX_DAYS", "PASS_MIN_DAYS" και "PASS_WARN_AGE". Αντίστοιχα, χρησιμοποιούνται για να ορίσετε πόσες ημέρες μπορεί να ισχύει ένας κωδικός πρόσβασης πριν χρειαστεί επαναφορά, πόσο σύντομα μετά από μια αλλαγή κωδικού πρόσβασης μπορεί να πραγματοποιηθεί μια άλλη και πόσες ημέρες προειδοποίησης λαμβάνει ένας χρήστης πριν γίνει ο κωδικός πρόσβασής του έχει λήξει.
Το "PASS_MAX_DAYS" ορίζει ως προεπιλογή το 99999, το οποίο χρησιμοποιείται για να υποδείξει ότι οι κωδικοί πρόσβασης δεν πρέπει να λήγουν αυτόματα. Το "PASS_MIN_DAYS" είναι προεπιλεγμένο σε 0, πράγμα που σημαίνει ότι οι χρήστες μπορούν να αλλάζουν τον κωδικό πρόσβασής τους όσο συχνά θέλουν.
Συμβουλή: Ένα ελάχιστο όριο ηλικίας κωδικού πρόσβασης συνήθως συνδυάζεται με έναν μηχανισμό ιστορικού κωδικού πρόσβασης κατά σειρά για να αποτρέψει τους χρήστες από το να αλλάξουν τον κωδικό πρόσβασής τους και στη συνέχεια να τον αλλάξουν αμέσως σε αυτό που συνήθιζε είναι.
Το "PASS_WARN_AGE" ορίζεται από προεπιλογή σε επτά ημέρες. Αυτή η τιμή χρησιμοποιείται μόνο εάν ο κωδικός πρόσβασης ενός χρήστη έχει όντως ρυθμιστεί ώστε να λήγει.
Πώς να διαμορφώσετε τις προεπιλεγμένες ρυθμίσεις γήρανσης κωδικού πρόσβασης για νέους λογαριασμούς
Εάν θέλετε να διαμορφώσετε αυτές τις τιμές έτσι ώστε οι κωδικοί πρόσβασης να λήγουν αυτόματα κάθε 90 ημέρες, ελάχιστη ηλικία ενός έτους εφαρμόζεται ημέρα και οι χρήστες προειδοποιούνται 14 ημέρες πριν τη λήξη τους, θα πρέπει να ορίσετε τις τιμές "90", "1" και "14" αντίστοιχα. Αφού κάνετε τις αλλαγές που θέλετε, αποθηκεύστε το αρχείο. Για τυχόν νέους λογαριασμούς που δημιουργούνται μετά την ενημέρωση του αρχείου, θα εφαρμόζονται από προεπιλογή οι ρυθμίσεις που έχετε διαμορφώσει.
Σημείωση: Εκτός εάν απαιτείται από τις πολιτικές, θα πρέπει να αποφύγετε τη διαμόρφωση των κωδικών πρόσβασης ώστε να λήγουν αυτόματα με την πάροδο του χρόνου. Το NCSC, το NIST και η ευρύτερη κοινότητα της κυβερνοασφάλειας συνιστούν πλέον ότι οι κωδικοί πρόσβασης λήγουν μόνο όταν υπάρχει εύλογη υποψία ότι έχουν παραβιαστεί. Αυτό οφείλεται σε έρευνα που έχει δείξει ότι οι τακτικές υποχρεωτικές επαναφορές κωδικών πρόσβασης ωθούν ενεργά τους χρήστες στην επιλογή πιο αδύναμων και πιο τυποποιημένων κωδικών πρόσβασης που είναι πιο εύκολο να μαντέψουν. Όταν οι χρήστες δεν αναγκάζονται να δημιουργούν και να θυμούνται τακτικά έναν νέο κωδικό πρόσβασης, είναι καλύτεροι στο να δημιουργούν μεγαλύτερους, πιο σύνθετους και γενικά ισχυρότερους κωδικούς πρόσβασης.