Als u een Linux-systeem beheert, is een van de taken die u mogelijk moet doen, het beheren van de instellingenwachtwoorden voor gebruikersaccounts. Als onderdeel van dit proces moet u waarschijnlijk de instellingen voor zowel bestaande als nieuwe accounts beheren.
Het beheren van de wachtwoordinstellingen voor bestaande accounts gebeurt via de opdracht "passwd", hoewel er andere alternatieven zijn. U kunt standaardinstellingen instellen voor accounts die in de toekomst worden gemaakt, maar u hoeft de standaardinstellingen voor elk nieuw account niet handmatig te wijzigen.
De instellingen worden geconfigureerd in het configuratiebestand “/etc/login.defs”. Omdat het bestand zich in de map "/etc" bevindt, heeft het rootrechten nodig om te bewerken. Om problemen te voorkomen waarbij u wijzigingen aanbrengt en ze vervolgens niet kunt opslaan omdat u geen machtigingen hebt, moet u ervoor zorgen dat u uw favoriete teksteditor start met sudo.
Het gewenste gedeelte bevindt zich in het midden van het bestand en heeft de titel "Besturingselementen voor wachtwoordveroudering". Daarin zijn drie instellingen, "PASS_MAX_DAYS", "PASS_MIN_DAYS" en "PASS_WARN_AGE". Deze worden respectievelijk gebruikt om in te stellen hoeveel dagen een wachtwoord geldig kan zijn voordat het opnieuw moet worden ingesteld, hoe snel na de ene wachtwoordwijziging kan een andere worden gemaakt, en hoeveel dagen een gebruiker een waarschuwing krijgt voordat zijn wachtwoord is verlopen.
"PASS_MAX_DAYS" is standaard 99999, wat wordt gebruikt om aan te geven dat wachtwoorden niet automatisch verlopen. "PASS_MIN_DAYS" is standaard ingesteld op 0, wat betekent dat gebruikers hun wachtwoord zo vaak kunnen wijzigen als ze willen.
Tip: Een minimumlimiet voor wachtwoordleeftijd wordt normaal gesproken gecombineerd met een wachtwoordgeschiedenismechanisme om om te voorkomen dat gebruikers hun wachtwoord wijzigen en het dan onmiddellijk terug veranderen naar wat het vroeger was zijn.
'PASS_WARN_AGE' is standaard zeven dagen. Deze waarde wordt alleen gebruikt als het wachtwoord van een gebruiker daadwerkelijk is geconfigureerd om te verlopen.
De standaardinstellingen voor wachtwoordveroudering configureren voor nieuwe accounts
Als u deze waarden zo wilt configureren dat wachtwoorden elke 90 dagen automatisch verlopen, is een minimumleeftijd van één dag wordt toegepast en gebruikers worden 14 dagen voordat ze verlopen worden gewaarschuwd. Stel de waarden "90", "1" en "14" in respectievelijk. Nadat u de gewenste wijzigingen hebt aangebracht, slaat u het bestand op. Alle nieuwe accounts die worden gemaakt nadat u het bestand hebt bijgewerkt, hebben standaard de instellingen die u hebt geconfigureerd.
Opmerking: Tenzij het beleid verplicht is, moet u voorkomen dat wachtwoorden zo worden geconfigureerd dat ze na verloop van tijd automatisch verlopen. Het NCSC, NIST en de bredere cybersecurity-gemeenschap bevelen nu aan dat wachtwoorden alleen verlopen als er een redelijk vermoeden bestaat dat ze zijn gecompromitteerd. Dit is te wijten aan onderzoek dat heeft aangetoond dat regelmatige verplichte resets van wachtwoorden gebruikers actief aansporen om zwakkere en meer formule-achtige wachtwoorden te kiezen die gemakkelijker te raden zijn. Wanneer gebruikers niet worden gedwongen om regelmatig een nieuw wachtwoord te maken en te onthouden, zijn ze beter in het maken van langere, complexere en over het algemeen sterkere wachtwoorden.