Slt à tous,
ben voilà forcer je voudrai forcer mes users à changer leur mot de passe. Pour ce faire, j'ai penser à réinitialiser moi même leur mot de passe et à leur prochaine connexion, les obliger à le changer et également donner une certaine durée de vie au mot de passe.
Pour la durée de vie des mots de passe avec le fichier /etc/login.defs c'est faisable avec la variable PASS_MAX_DAYS. Mais voilà En mettant la valeur de cette variable à 1 et en donnant un délai d'un jour à mes users pour changer leur mot de passe et en ensuite remettre la valeur que je souhaite je résoudrai le problème, mais je ne trouve pas cette solution tres esthétique.
Alors si vous avez déja eu à faire cette opération je suis prennant pour vos retours d'expérience
# de memoire
Posté par NeoX . Évalué à 3.
quelques jours avant il doit avertir l'utilisateur que son mot de passe va expirer.
l'utilisateur change alors son mot de passe.
Je ne vois pas pourquoi tu devrais changer son mot de passe et lui faire un email pour lui dire que son mot de passe à expirer
By editing /etc/login.defs, you can specify a few parameters to set the default settings for password aging:
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
This effectively disables password aging by setting the number of days that a password is valid to 99,999. A more sensible setting would be 60—forcing a password change every two months. The PASS_MIN_DAYS setting indicates how many days need to pass before the user is allowed to change his password since the last password change. The PASS_WARN_AGE setting indicates how many days prior to the password expiration that warning notices will be sent to users (i.e., when they log in).
[^] # Re: de memoire
Posté par serval21 . Évalué à 2.
En fait c'est une nouvelle politique que je compte mettre en place, si je réduis PASS_MAX_DAYS à 1 aujourd'hui je suppose qu'ils seront obligés à changer leur mot de passe demain, mais je serai obligé de remettre demain PASS_MAX_DAYS à 99 (par exemple) et vu que ce n'est pas sûr que tous les utilisateurs changent leur password demain je risque d'avoir des users qui n'auront pas changer leur mot de passe c'est pourquoi je voudrais d'bord les obliger à changer leur mot de passe et ensuite appliquer la politique de durée du mot de passe.
[^] # Re: de memoire
Posté par NeoX . Évalué à 3.
qui semble laisser une "grace" de X jours.
donc tu mets en place le MAX_DAYS à 1 ce soir et le MIN_DAYS à 4 jours
tu avertis tes utilisateurs qu'ils doivent changer leur mot de passe d'ici ce WE.
s'ils ne le font pas, le systeme va bloquer les comptes dans 4 jours.
s'ils le font leur compte ne sera pas bloqués
et lundi tu remet le MAX_DAYS à 30/60/90 jours selon ce que tu souhaites
# passwd -e
Posté par peck (site web personnel) . Évalué à 6.
En pratique, cela modifie un champ dans /etc/passwd et force l'utilisateur a changer de mot de passe à sa prochaine connexion.
# chage(1)
Posté par Octabrain . Évalué à 2.
# huuum
Posté par bzubzu . Évalué à 5.
Une politique de sécu sur les pass doit avant tout se baser sur le fait de forcer les utilisateur à avoir un mot de passe robuste ie : caractère à case différente chiffre et autre.
Toute la subtilité est de ne pas emmerder l'utilisateur (enfin le moins possible).
De vécu si tu laisse les utilisateur choisir leurs mot de passe ça va être à base de trucs mémorisable et donc facilement trouvable par john the ripper (enfin ca ca depend). J'ai déjà vu des : jkl123 123 roger!!! (pour l'utilisateur roger) mais une chose est sure il suffit qu'un SEUL utilisateur ai un mot de passe faible sur le système pour que la machine soit compromise. J'ai bossé dans un centre de recherche je me suis amusé à faire un john sur le shadow (1300 pass) en 10s j'avais déjà 10 mot de passe 24h sur un via C7 une 50 de pass après ça à pris du temps.
Si tu compte changer les pass de tes user sans leurs laisser le choix, régénère les pass à coup de apg :
[bzubzu@rictrude ~]$ apg -t
bofViawJox (bof-Viaw-Jox)
KatDofcit] (Kat-Dof-cit-RIGHT_BRACKET)
Bygjekiv (Byg-jek-iv)
BegCoov: (Beg-Coov-COLON)
dawlotVonn (dawl-ot-Vonn)
tu peux même t'amuser à faire un script qui va scanner le résultat de apg et insérer des ! / ; @ | ou chiffres entre les syllabes
note : je sais pas si c'est un hasard où pas mais john a l'air d'avoir du mal avec les pass généré par apg en tout cas un de mes pass vient d'apg et john à pas réussi a en venir à bout sur un cluster de ce même centre de recherche j'ai arrêté le test après 48h de moulinage.
Et empèche les de les changer sinon pense à mettre en place un truc qui vérifie de temps à autre si le pass est faible ou pas.
Si tu veux aller plus loin tu peux générer des nouveaux mot de passe tous les ans ou moins ou plus à toi de juger.
Tout ça couplé à fail2ban pour bannir les ip provenant d'autres machine si trop d'identification incorrecte en trop peu de temp.
Après il reste les post it sur les écrans mais bon le fait d'utiliser apg peut permettre aux users de mémoriser des mots de passe complexes plus facilement et ainsi leurs éviter le besoin d'utiliser le dit post-it.
# historisation des mots de passe
Posté par serval21 . Évalué à 1.
ce qui serait mieux ce serait de l'empêcher d'entrer ses 4 ou 5 mots de passe précédents.
Avez vous une idée de la chose??
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.