Si vous gérez un système Linux, l'une des tâches que vous devrez peut-être effectuer est de gérer les mots de passe des paramètres pour les comptes d'utilisateurs. Dans le cadre de ce processus, vous devrez probablement gérer les paramètres des comptes existants et nouveaux.
La gestion des paramètres de mot de passe pour les comptes existants se fait via la commande "passwd", bien qu'il existe d'autres alternatives. Vous pouvez toutefois définir des paramètres par défaut pour les comptes qui seront créés à l'avenir, ce qui vous évite de modifier manuellement les paramètres par défaut pour chaque nouveau compte.
Les paramètres sont configurés dans le fichier de configuration "/etc/login.defs". Comme le fichier se trouve dans le répertoire "/etc", il nécessitera des autorisations root pour le modifier. Pour éviter tout problème où vous apportez des modifications puis ne pouvez pas les enregistrer car vous n'avez pas d'autorisations, assurez-vous de lancer votre éditeur de texte préféré avec sudo.
La section souhaitée se trouve près du milieu du fichier et s'intitule « Contrôles du vieillissement du mot de passe ». Il contient trois paramètres, "PASS_MAX_DAYS", "PASS_MIN_DAYS" et "PASS_WARN_AGE". Respectivement, ceux-ci sont utilisés pour définir combien de jours un mot de passe peut être valide avant de devoir être réinitialisé, combien de temps après un changement de mot de passe, un autre peut être effectué, et combien de jours d'avertissement un utilisateur reçoit avant que son mot de passe ne soit expiré.
"PASS_MAX_DAYS" par défaut à 99999 qui est utilisé pour indiquer que les mots de passe ne doivent pas expirer automatiquement. "PASS_MIN_DAYS" par défaut à 0, ce qui signifie que les utilisateurs peuvent changer leur mot de passe aussi souvent qu'ils le souhaitent.
Astuce: Une limite minimale d'âge du mot de passe est normalement associée à un mécanisme d'historique des mots de passe afin pour empêcher les utilisateurs de modifier leur mot de passe, puis de le remplacer immédiatement par ce qu'il était auparavant être.
« PASS_WARN_AGE » est défini par défaut sur sept jours. Cette valeur n'est utilisée que si le mot de passe d'un utilisateur est réellement configuré pour expirer.
Comment configurer les paramètres de vieillissement de mot de passe par défaut pour les nouveaux comptes
Si vous souhaitez configurer ces valeurs pour que les mots de passe expirent automatiquement tous les 90 jours, un âge minimum d'un jour est appliqué et les utilisateurs sont avertis 14 jours avant leur expiration, vous devez définir les valeurs « 90 », « 1 » et « 14 » respectivement. Une fois que vous avez apporté les modifications souhaitées, enregistrez le fichier. Tous les nouveaux comptes créés après la mise à jour du fichier auront les paramètres que vous avez configurés appliqués par défaut.
Remarque: À moins que les stratégies ne l'exigent, vous devez éviter de configurer des mots de passe pour qu'ils expirent automatiquement au fil du temps. Le NCSC, le NIST et la communauté de la cybersécurité au sens large recommandent désormais que les mots de passe n'expirent que lorsqu'il existe des soupçons raisonnables qu'ils ont été compromis. Cela est dû à des recherches qui ont montré que les réinitialisations obligatoires régulières des mots de passe poussent activement les utilisateurs à choisir des mots de passe plus faibles et plus stéréotypés, plus faciles à deviner. Lorsque les utilisateurs ne sont pas obligés de créer et de mémoriser régulièrement un nouveau mot de passe, ils sont plus à même de créer des mots de passe plus longs, plus complexes et généralement plus forts.