Forum Linux.debian/ubuntu Historisation de mots de passe

Posté par  .
Étiquettes : aucune
0
14
mai
2009
De retour avec les mots de passe, la technique du login.defs afin d'obliger l'utilisateur a changer de mot de passe au bout d'un certain temps est vraiment pratique, cependant existe t-il une méthode pour empêcher le user d'entrer le même mot de passe??
ce qui serait mieux ce serait de l'empêcher d'entrer ses 4 ou 5 mots de passe précédents.
En un mot avoir une historisation des mots de passe.
Avez vous une idée??

  • # a utiliser avec précaution ...

    Posté par  . Évalué à 2.

    Il vaut mieux avoir 3 ou 4 bon mots de passe plutot que 12 mauvais mots de passe par an ... ou 12 mots de passe notés sur un post-it derrière le clavier.

  • # PAM

    Posté par  (site web personnel) . Évalué à 2.

    Le changement de mot de passe passe par pam.
    Pam permet d'ajouter des modules pour faire les vérifications qu'on veut. S'il n'en existe pas un, tu peux le faire.

    Heureusement il en existe déjà un pour tester les mots de passe faibles ou identiques : pam_cracklib

  • # Oui

    Posté par  . Évalué à 2.

    Suffit de sauvegarder régulièrement les modifs de passwd (ou shadow )
    Cependant un changement périodique de mot de passe est une plaie d'un point de vue sécurité.
    Il vaut nettement mieux faire tourner un prog du style John sur les mots de passe, et envoyer automatiquement aux utilisateurs trouvé un mail du genre

    Une lettre sur deux de votre mot de passe est : a*b*n*e*, veuillez en changer immédiatement, si ce n'est pas fait dans les plus brefs délai nous nous verrons dans l'obligation de verrouiller votre compte.
    Pour qu'un mot de passe soit robuste il faut qu'il comporte d'autre caractère que des lettres, si possible mélanger minuscules et majuscules [(si y a des clavier qwerty) souvenez vous que les lettre accentuées ne sont pas disponibles sur tout les postes ] et faire un minimum de 8 caractères et donne une succession d'exemple de mot de passes et de moyens mnémotechnique pour s'en souvenir.

    Ici je suis obligé de modifier le MDP windows (machine virtuelle pour les mails sinon je suis sous linux) tous les mois, et ce petit salaud se verrouille après trois tentatives ratés, en plus le screesaver a mot de passe est activé par défaut et ils ont viré l'option pour le désactiver.

    Résultat : j'ai un alias (lose) qui lance un rdesktop sur la machine virtuelle (comme ça je garde les raccourcis kde ) et qui rentre le mot de passe à ma place, le mot de passe dépendant du mois c'est facile à faire (par contre si la fin est facilement devinable, le début est robuste) ;)
    L'autre solution est de virer le screensaver en passant par regedit (très facile aussi)
    Et j'ai connaissance d'un gars qui affichait sont mot de passe en screensaver (bah oui les post it étaient explicitement interdit)

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # PAM

    Posté par  . Évalué à 2.

    Tu peux configurer pam_unix pour cela avec l'option remember=n , ou les n derniers mots de passe seront conservés dans le fichier /etc/security/opasswd (à tester s'il est nécessaire de créer manuellement ce fichier).

    Selon ta distribution ça pourrait donner cela pour /etc/pam.d/common-password:

    password requisite pam_unix.so nullok obscure md5 remember=5

    • [^] # Re: PAM

      Posté par  . Évalué à 2.

      ne pas oublier dans ce cas une durée minimum pour conserver un mot de passe, les utilisateurs étant adepte de
      Password
      fauxPass1
      fauxPass2
      fauxPass3
      fauxPass4
      fauxPass5
      Password

      Et au final ils conservent leur mot de passe.

      Enfin comme dit plus haut je pense qu'il est plus efficace de faire une chasse aux mots de passes faible qu'imposer un changement de Mot de passe trop fréquent

      Ensuite forcer à changer tous les 6 mois ça peut être pas mal, mais dans ce cas autant mettre un remember à 50, pour éviter d'avoir 2 fois le même mot de passe ;)

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: PAM

        Posté par  . Évalué à 1.

        Slt,
        Merci à tous pour vos suggestions. Mes recherches m'ont conduit à passwdqc qui vient en remplacement de cracklib, je ne l'ai pas encore testé à fond mais il faut reconnaitre qu'il est assez sympa en ce qui concerne le fait de tester la robustesse d'un mot de passe et aussi empêcher la réutilisabilité de l'ancien mot de passe. Mais jusqu'à présent je n'ai pas encore trouvé la fonction remember pour l'historisation.
        Je cherche toujours.
        Encore merci

      • [^] # Re: PAM

        Posté par  . Évalué à 1.

        Slt,
        Merci à tous pour vos suggestions. Mes recherches m'ont conduit à passwdqc qui vient en remplacement de cracklib, je ne l'ai pas encore testé à fond mais il faut reconnaitre qu'il est assez sympa en ce qui concerne le fait de tester la robustesse d'un mot de passe et aussi empêcher la réutilisabilité de l'ancien mot de passe. Mais jusqu'à présent je n'ai pas encore trouvé la fonction remember pour l'historisation.
        Je cherche toujours.
        Encore merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.