Linux: ┬┐C├│mo configurar la caducidad de la contrase├▒a predeterminada para cuentas nuevas?

Si está administrando un sistema Linux, es posible que deba administrar las contraseñas de preferencia de la cuenta de usuario. Como parte de este proceso, es probable que deba administrar la configuración de las cuentas nuevas y existentes.

El comando passwd se usa para administrar la configuraci├│n de contrase├▒as para cuentas existentes, pero existen otras alternativas. Puede establecer la configuraci├│n predeterminada para las cuentas que se creen en el futuro. Sin embargo, esto no le permite cambiar manualmente la configuraci├│n predeterminada para cada nueva cuenta.

Los ajustes se configuran en el archivo de configuraci├│n ┬ź/etc/login.defs┬╗. Dado que el archivo se encuentra en el directorio / etc, se requieren permisos de root para editarlo. Aseg├║rese de iniciar su editor de texto favorito con sudo para evitar problemas en los que pueda realizar cambios y luego no guardarlos porque no tiene permisos.

La secci├│n que desea est├í en el medio del archivo y se titula Controles de antig├╝edad de la contrase├▒a. Contiene tres configuraciones: ┬źPASS_MAX_DAYS┬╗, ┬źPASS_MIN_DAYS┬╗ y ┬źPASS_WARN_AGE┬╗. Estos se utilizan para determinar cu├íntos d├şas puede ser v├ílida una contrase├▒a antes de que deba restablecerse, qu├ę tan r├ípido despu├ęs de un cambio de contrase├▒a, se puede cambiar otra y cu├íntos d├şas se advierte a un usuario antes de que expire su contrase├▒a.

Los valores predeterminados para los controles de caducidad de contrase├▒as se pueden encontrar en el archivo /etc/login.defs.

De forma predeterminada, PASS_MAX_DAYS es 99999, lo que indica que las contraseñas no deben caducar automáticamente. PASS_MIN_DAYS es 0 de forma predeterminada, lo que significa que los usuarios pueden cambiar su contraseña con la frecuencia que quieran.

Consejo: Por lo general, se combina un l├şmite m├şnimo de antig├╝edad de la contrase├▒a con un mecanismo de historial de contrase├▒as para evitar que los usuarios cambien su contrase├▒a y luego la recuperen inmediatamente a su valor original.

De forma predeterminada, PASS_WARN_AGE es de siete d├şas. Este valor se usa solo cuando la contrase├▒a de un usuario est├í realmente configurada para caducar.

C├│mo configurar los ajustes predeterminados de caducidad de la contrase├▒a para cuentas nuevas

Si elige configurar estos valores para que las contrase├▒as caduquen autom├íticamente cada 90 d├şas, se aplica una antig├╝edad m├şnima de un d├şa y se advierte a los usuarios 14 d├şas antes de que caduquen. Deben ser 90, 1 y 14. Guarde el archivo una vez que haya realizado los cambios que desee. Cualquier cuenta nueva que se cree despu├ęs de actualizar el archivo tendr├í la configuraci├│n predeterminada que configur├│. aplicado.

Los valores ┬ź90┬╗, ┬ź1┬╗ y ┬ź14┬╗ configuran las contrase├▒as para que expiren autom├íticamente cada 90 d├şas, no cambien m├ís de una vez al d├şa, y advierten a los usuarios que su contrase├▒a debe cambiarse catorce d├şas antes de la expiraci├│n.

Nota: A menos que lo requieran las pautas, debe evitar configurar contrase├▒as para que caduquen autom├íticamente con el tiempo. El NCSC, NIST y la comunidad de ciberseguridad en general ahora recomiendan que las contrase├▒as solo caduquen si existe una sospecha razonable de que han sido comprometidas. Esto se debe a una investigaci├│n que ha demostrado que los restablecimientos regulares de contrase├▒as obligatorias alientan activamente a los usuarios a elegir contrase├▒as m├ís d├ębiles y formuladas que sean m├ís f├íciles de adivinar. A menos que los usuarios se vean obligados a crear y recordar una nueva contrase├▒a con regularidad, estar├ín en mejores condiciones de crear contrase├▒as m├ís largas, complejas y, en general, m├ís seguras.

Deja un comentario