Forum Linux.debian/ubuntu debian+ forcer les users à changer leur mot de passe

• # de memoire

  Posté par NeoX le 14 avril 2009 à 18:18. Évalué à 3.

  

  tu peux specifier une durée de vie pour le mot de passe.
  quelques jours avant il doit avertir l'utilisateur que son mot de passe va expirer.
  l'utilisateur change alors son mot de passe.
  
  Je ne vois pas pourquoi tu devrais changer son mot de passe et lui faire un email pour lui dire que son mot de passe à expirer
  
  By editing /etc/login.defs, you can specify a few parameters to set the default settings for password aging:

PASS_MAX_DAYS 99999

PASS_MIN_DAYS 0

PASS_WARN_AGE 7

This effectively disables password aging by setting the number of days that a password is valid to 99,999. A more sensible setting would be 60—forcing a password change every two months. The PASS_MIN_DAYS setting indicates how many days need to pass before the user is allowed to change his password since the last password change. The PASS_WARN_AGE setting indicates how many days prior to the password expiration that warning notices will be sent to users (i.e., when they log in).

  • [^] # Re: de memoire

    Posté par serval21 le 14 avril 2009 à 18:54. Évalué à 2.

    

    >Je ne vois pas pourquoi tu devrais changer son mot de passe et lui faire un email pour lui dire que son mot de passe à expirer
    
    En fait c'est une nouvelle politique que je compte mettre en place, si je réduis PASS_MAX_DAYS à 1 aujourd'hui je suppose qu'ils seront obligés à changer leur mot de passe demain, mais je serai obligé de remettre demain PASS_MAX_DAYS à 99 (par exemple) et vu que ce n'est pas sûr que tous les utilisateurs changent leur password demain je risque d'avoir des users qui n'auront pas changer leur mot de passe c'est pourquoi je voudrais d'bord les obliger à changer leur mot de passe et ensuite appliquer la politique de durée du mot de passe.

    • [^] # Re: de memoire

      Posté par NeoX le 14 avril 2009 à 19:51. Évalué à 3.

      

      alors il te faut utiliser aussi le PASS_MIN_DAYS
      qui semble laisser une "grace" de X jours.
      
      donc tu mets en place le MAX_DAYS à 1 ce soir et le MIN_DAYS à 4 jours
      tu avertis tes utilisateurs qu'ils doivent changer leur mot de passe d'ici ce WE.
      
      s'ils ne le font pas, le systeme va bloquer les comptes dans 4 jours.
      s'ils le font leur compte ne sera pas bloqués
      et lundi tu remet le MAX_DAYS à 30/60/90 jours selon ce que tu souhaites

• # passwd -e

  Posté par peck (site web personnel) le 15 avril 2009 à 00:19. Évalué à 6.

  

  La commande passwd -e sert à forcer l'expiration d'un mot de passe.
  
  En pratique, cela modifie un champ dans /etc/passwd et force l'utilisateur a changer de mot de passe à sa prochaine connexion.

• # chage(1)

  Posté par Octabrain le 15 avril 2009 à 02:08. Évalué à 2.

  

  http://unixhelp.ed.ac.uk/CGI/man-cgi?chage+1

• # huuum

  Posté par bzubzu le 15 avril 2009 à 05:21. Évalué à 5.

  

  Comme politique de sécu je trouve pas ca génial de forcer les gens à changer de mot de passe, de 1 ça les fait chier de 2 c'est pas pour ça que le nouveau mot de passe sera plus sûr.
  
  Une politique de sécu sur les pass doit avant tout se baser sur le fait de forcer les utilisateur à avoir un mot de passe robuste ie : caractère à case différente chiffre et autre.
  Toute la subtilité est de ne pas emmerder l'utilisateur (enfin le moins possible).
  De vécu si tu laisse les utilisateur choisir leurs mot de passe ça va être à base de trucs mémorisable et donc facilement trouvable par john the ripper (enfin ca ca depend). J'ai déjà vu des : jkl123 123 roger!!! (pour l'utilisateur roger) mais une chose est sure il suffit qu'un SEUL utilisateur ai un mot de passe faible sur le système pour que la machine soit compromise. J'ai bossé dans un centre de recherche je me suis amusé à faire un john sur le shadow (1300 pass) en 10s j'avais déjà 10 mot de passe 24h sur un via C7 une 50 de pass après ça à pris du temps.
  
  Si tu compte changer les pass de tes user sans leurs laisser le choix, régénère les pass à coup de apg :
  
  [bzubzu@rictrude ~]$ apg -t
bofViawJox (bof-Viaw-Jox)
KatDofcit] (Kat-Dof-cit-RIGHT_BRACKET)
Bygjekiv (Byg-jek-iv)
BegCoov: (Beg-Coov-COLON)
dawlotVonn (dawl-ot-Vonn)

  
  tu peux même t'amuser à faire un script qui va scanner le résultat de apg et insérer des ! / ; @ | ou chiffres entre les syllabes
  
  note : je sais pas si c'est un hasard où pas mais john a l'air d'avoir du mal avec les pass généré par apg en tout cas un de mes pass vient d'apg et john à pas réussi a en venir à bout sur un cluster de ce même centre de recherche j'ai arrêté le test après 48h de moulinage.
  
  Et empèche les de les changer sinon pense à mettre en place un truc qui vérifie de temps à autre si le pass est faible ou pas.
  
  Si tu veux aller plus loin tu peux générer des nouveaux mot de passe tous les ans ou moins ou plus à toi de juger.
  
  Tout ça couplé à fail2ban pour bannir les ip provenant d'autres machine si trop d'identification incorrecte en trop peu de temp.
  
  Après il reste les post it sur les écrans mais bon le fait d'utiliser apg peut permettre aux users de mémoriser des mots de passe complexes plus facilement et ainsi leurs éviter le besoin d'utiliser le dit post-it.

• # historisation des mots de passe

  Posté par serval21 le 13 mai 2009 à 15:01. Évalué à 1.

  

  De retour avec les mots de passe, la technique du passwd -e et du login.defs est vraiment pratique, cependant existe t-il une méthode pour empêcher le user d'entrer le même mot de passe??
  ce qui serait mieux ce serait de l'empêcher d'entrer ses 4 ou 5 mots de passe précédents.
  Avez vous une idée de la chose??

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.