Forum Linux.debian/ubuntu debian+ forcer les users à changer leur mot de passe

Posté par .
Tags : aucun
1
14
avr.
2009
Slt à tous,

ben voilà forcer je voudrai forcer mes users à changer leur mot de passe. Pour ce faire, j'ai penser à réinitialiser moi même leur mot de passe et à leur prochaine connexion, les obliger à le changer et également donner une certaine durée de vie au mot de passe.
Pour la durée de vie des mots de passe avec le fichier /etc/login.defs c'est faisable avec la variable PASS_MAX_DAYS. Mais voilà En mettant la valeur de cette variable à 1 et en donnant un délai d'un jour à mes users pour changer leur mot de passe et en ensuite remettre la valeur que je souhaite je résoudrai le problème, mais je ne trouve pas cette solution tres esthétique.

Alors si vous avez déja eu à faire cette opération je suis prennant pour vos retours d'expérience
  • # de memoire

    Posté par . Évalué à 3.

    tu peux specifier une durée de vie pour le mot de passe.
    quelques jours avant il doit avertir l'utilisateur que son mot de passe va expirer.
    l'utilisateur change alors son mot de passe.

    Je ne vois pas pourquoi tu devrais changer son mot de passe et lui faire un email pour lui dire que son mot de passe à expirer

    By editing /etc/login.defs, you can specify a few parameters to set the default settings for password aging:

    PASS_MAX_DAYS 99999

    PASS_MIN_DAYS 0

    PASS_WARN_AGE 7

    This effectively disables password aging by setting the number of days that a password is valid to 99,999. A more sensible setting would be 60—forcing a password change every two months. The PASS_MIN_DAYS setting indicates how many days need to pass before the user is allowed to change his password since the last password change. The PASS_WARN_AGE setting indicates how many days prior to the password expiration that warning notices will be sent to users (i.e., when they log in).
    • [^] # Re: de memoire

      Posté par . Évalué à 2.

      >Je ne vois pas pourquoi tu devrais changer son mot de passe et lui faire un email pour lui dire que son mot de passe à expirer

      En fait c'est une nouvelle politique que je compte mettre en place, si je réduis PASS_MAX_DAYS à 1 aujourd'hui je suppose qu'ils seront obligés à changer leur mot de passe demain, mais je serai obligé de remettre demain PASS_MAX_DAYS à 99 (par exemple) et vu que ce n'est pas sûr que tous les utilisateurs changent leur password demain je risque d'avoir des users qui n'auront pas changer leur mot de passe c'est pourquoi je voudrais d'bord les obliger à changer leur mot de passe et ensuite appliquer la politique de durée du mot de passe.
      • [^] # Re: de memoire

        Posté par . Évalué à 3.

        alors il te faut utiliser aussi le PASS_MIN_DAYS
        qui semble laisser une "grace" de X jours.

        donc tu mets en place le MAX_DAYS à 1 ce soir et le MIN_DAYS à 4 jours
        tu avertis tes utilisateurs qu'ils doivent changer leur mot de passe d'ici ce WE.

        s'ils ne le font pas, le systeme va bloquer les comptes dans 4 jours.
        s'ils le font leur compte ne sera pas bloqués
        et lundi tu remet le MAX_DAYS à 30/60/90 jours selon ce que tu souhaites
  • # passwd -e

    Posté par (page perso) . Évalué à 6.

    La commande passwd -e sert à forcer l'expiration d'un mot de passe.

    En pratique, cela modifie un champ dans /etc/passwd et force l'utilisateur a changer de mot de passe à sa prochaine connexion.
  • # chage(1)

    Posté par . Évalué à 2.

  • # huuum

    Posté par . Évalué à 5.

    Comme politique de sécu je trouve pas ca génial de forcer les gens à changer de mot de passe, de 1 ça les fait chier de 2 c'est pas pour ça que le nouveau mot de passe sera plus sûr.

    Une politique de sécu sur les pass doit avant tout se baser sur le fait de forcer les utilisateur à avoir un mot de passe robuste ie : caractère à case différente chiffre et autre.
    Toute la subtilité est de ne pas emmerder l'utilisateur (enfin le moins possible).
    De vécu si tu laisse les utilisateur choisir leurs mot de passe ça va être à base de trucs mémorisable et donc facilement trouvable par john the ripper (enfin ca ca depend). J'ai déjà vu des : jkl123 123 roger!!! (pour l'utilisateur roger) mais une chose est sure il suffit qu'un SEUL utilisateur ai un mot de passe faible sur le système pour que la machine soit compromise. J'ai bossé dans un centre de recherche je me suis amusé à faire un john sur le shadow (1300 pass) en 10s j'avais déjà 10 mot de passe 24h sur un via C7 une 50 de pass après ça à pris du temps.

    Si tu compte changer les pass de tes user sans leurs laisser le choix, régénère les pass à coup de apg :

    [bzubzu@rictrude ~]$ apg -t
    bofViawJox (bof-Viaw-Jox)
    KatDofcit] (Kat-Dof-cit-RIGHT_BRACKET)
    Bygjekiv (Byg-jek-iv)
    BegCoov: (Beg-Coov-COLON)
    dawlotVonn (dawl-ot-Vonn)


    tu peux même t'amuser à faire un script qui va scanner le résultat de apg et insérer des ! / ; @ | ou chiffres entre les syllabes

    note : je sais pas si c'est un hasard où pas mais john a l'air d'avoir du mal avec les pass généré par apg en tout cas un de mes pass vient d'apg et john à pas réussi a en venir à bout sur un cluster de ce même centre de recherche j'ai arrêté le test après 48h de moulinage.

    Et empèche les de les changer sinon pense à mettre en place un truc qui vérifie de temps à autre si le pass est faible ou pas.

    Si tu veux aller plus loin tu peux générer des nouveaux mot de passe tous les ans ou moins ou plus à toi de juger.

    Tout ça couplé à fail2ban pour bannir les ip provenant d'autres machine si trop d'identification incorrecte en trop peu de temp.

    Après il reste les post it sur les écrans mais bon le fait d'utiliser apg peut permettre aux users de mémoriser des mots de passe complexes plus facilement et ainsi leurs éviter le besoin d'utiliser le dit post-it.
  • # historisation des mots de passe

    Posté par . Évalué à 1.

    De retour avec les mots de passe, la technique du passwd -e et du login.defs est vraiment pratique, cependant existe t-il une méthode pour empêcher le user d'entrer le même mot de passe??
    ce qui serait mieux ce serait de l'empêcher d'entrer ses 4 ou 5 mots de passe précédents.
    Avez vous une idée de la chose??

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.