Passordets historie og administrasjon i Linux
I seks tiår har passord vært en bærebjelke for å beskytte kontoer, og deres historie strekker seg nesten et tiår før Unix’ fremkomst. Denne artikkelen utforsker hvordan du kan håndtere passordene dine i Linux, enten via kommandolinjen eller ved hjelp av GNOME-skrivebordsmiljøet.
Hvordan skape et robust passord
Behovet for passord oppstod med introduksjonen av flerbruker-datasystemer med tidsdeling. Det ble da essensielt å skille og verne om brukernes data, og passordet ble den naturlige løsningen.
Passord er fortsatt den mest utbredte metoden for kontoautentisering. Selv om to-faktor og multifaktorautentisering øker sikkerheten, og biometrisk autentisering tilbyr alternative måter å identifisere seg på, er passordet fortsatt sentralt. Dette understreker viktigheten av å forstå hvordan man skaper og bruker dem på best mulig måte. Det er viktig å merke seg at noen tidligere metoder for passordhåndtering ikke lenger er hensiktsmessige.
Her er noen grunnleggende regler for passord:
- Unngå passord, bruk passfraser: En frase bestående av tre eller fire urelaterte ord, kombinert med tegnsetting, symboler eller tall, er mye vanskeligere å knekke enn en vilkårlig tegnstreng eller et passord hvor vokaler er erstattet med tall.
- Ikke gjenbruk passord: Dette gjelder både på samme og forskjellige systemer.
- Hold passord private: Passord skal ikke deles med andre.
- Ikke bruk lett tilgjengelig informasjon: Unngå navn på familiemedlemmer, favorittlag, band eller annen informasjon som kan avledes fra sosiale medier.
- Unngå mønsterpassord: Ikke bruk passord som følger tastaturmønstre som qwerty, 1q2w3e, etc.
Regelmessig utløp av passord er ikke lenger ansett som beste praksis. Hvis du benytter sterke passfraser, trenger du bare endre dem dersom du har mistanke om at de kan ha blitt kompromittert. Hyppige passordendringer kan føre til dårligere valg, da mange lett tyr til å legge til en dato eller et tall til et eksisterende passord.
Nasjonalt institutt for standarder og teknologi (NIST) har publisert omfattende informasjon om passord og brukeridentifikasjon, inkludert Spesialpublikasjon 800-63-3: Retningslinjer for digital autentisering, som er offentlig tilgjengelig.
Passwd-filen: En historisk oversikt
Tradisjonelt har Unix-lignende systemer lagret passord sammen med annen kontoinformasjon i filen «/etc/passwd». I dag inneholder denne filen fortsatt kontoinformasjon, men de krypterte passordene lagres i filen «/etc/shadow», som har begrenset tilgang. Filen «/etc/passwd» er imidlertid tilgjengelig for alle brukere.
For å vise innholdet i «/etc/passwd», bruk kommandoen:
less /etc/passwd
Filens innhold vil da vises. La oss se nærmere på detaljene for kontoen «marie».
Hver linje i filen representerer en bruker (eller et program med en tilhørende bruker). Linjen består av syv kolonseparerte felt:
- Brukernavn: Innloggingsnavnet for kontoen.
- Passord: En «x» indikerer at passordet er lagret i /etc/shadow.
- Bruker-ID: Brukeridentifikatoren for denne kontoen.
- Gruppe-ID: Gruppeidentifikatoren for denne kontoen.
- GECOS: Står for General Electric Comprehensive Operating Supervisor. I dag inneholder GECOS-feltet kommadelt informasjon om kontoen, som fullt navn, romnummer, kontor- eller hjemmetelefonnummer.
- Hjem: Stien til kontoens hjemmekatalog.
- Shell: Programmet som starter når brukeren logger inn.
Tomme felter representeres med et kolon.
Kommandoen «finger» henter forøvrig sin informasjon fra GECOS-feltet.
finger mary
Skyggefilen: Beskyttelse av passord
For å se innholdet i «/etc/shadow», kreves sudo-rettigheter:
sudo less /etc/shadow
For hver oppføring i «/etc/passwd», skal det finnes en tilsvarende oppføring i «/etc/shadow».
Hver linje representerer en konto, og har ni kolonseparerte felter:
- Brukernavn: Innloggingsnavnet for kontoen.
- Kryptert passord: Det krypterte passordet for kontoen.
- Siste endring: Datoen passordet sist ble endret.
- Minimumsdager: Det minste antall dager mellom passordendringer. Brukeren må vente dette antallet dager før passordet kan endres. En verdi på null betyr at passordet kan endres når som helst.
- Maksimalt antall dager: Det maksimale antall dager mellom passordendringer. Dette feltet inneholder vanligvis et svært høyt tall. I eksemplet for «marie» er verdien 99999 dager, som tilsvarer over 27 år.
- Varseldager: Antall dager før passordets utløpsdato for å vise en påminnelse.
- Tilbakestill låsing: Etter at passordet har utløpt, vil systemet vente dette antallet dager (en utsettelsesperiode) før kontoen deaktiveres.
- Kontoens utløpsdato: Datoen brukeren ikke lenger kan logge inn på kontoen. Hvis feltet er tomt, utløper kontoen aldri.
- Reservefelt: Et felt for potensiell fremtidig bruk.
Tomme felter er representert med et kolon.
Konvertering av «Siste endring»-feltet til en dato
Unix-epoken startet 1. januar 1970. Verdien i «Siste endring»-feltet (f.eks. 18209) representerer antall dager siden denne datoen da passordet for kontoen «mary» ble endret.
Følgende kommando konverterer verdien til en lesbar dato:
date -d "1970-01-01 18209 days"
Dette viser datoen som midnatt den dagen passordet sist ble endret. I dette eksemplet er det 9. november 2019.
Passwd-kommandoen: Ditt verktøy for passordadministrasjon
Kommandoen passwd
brukes for å endre passordet ditt og – med sudo-rettigheter – passord for andre brukere.
For å endre ditt eget passord, bruk kommandoen uten parametere:
passwd
Du må da skrive inn ditt nåværende passord, og deretter ditt nye passord to ganger for bekreftelse.
Endre andre brukeres passord
For å endre passordet til en annen bruker, må du bruke sudo
og oppgi brukernavnet:
sudo passwd mary
Du må da bekrefte superbrukerrettigheter med passordet ditt. Skriv deretter inn det nye passordet for brukeren, og gjenta for bekreftelse.
Tvinge passordendring
For å tvinge en bruker til å endre passordet sitt ved neste innlogging, bruk alternativet -e
(utløp):
sudo passwd -e mary
En melding bekrefter at passordets utløpsdato er endret.
Når brukeren «mary» logger inn, vil hun bli tvunget til å endre passordet sitt:
Låse en konto
For å låse en konto, bruk passwd
med alternativet -l
(lås):
sudo passwd -l mary
En melding bekrefter at passordets utløpsdato er endret.
Brukeren vil nå ikke lenger kunne logge inn med sitt passord. For å låse opp kontoen, bruk alternativet -u
(lås opp):
sudo passwd -u mary
Nok en gang får du bekreftelse om at passordets utløpsdato er endret:
Brukeren vil fortsatt kunne logge inn ved hjelp av andre metoder som ikke krever passord, f.eks. SSH-nøkler. For å fullstendig utestenge brukeren fra datamaskinen, må kontoen utløpe.
Chage-kommandoen: Administrering av kontoens levetid
Kommandoen chage
(som står for «change age») lar deg angi en utløpsdato for en konto.
La oss se på de nåværende innstillingene for «mary» med alternativet -l
(liste):
sudo chage -l mary
Her ser vi at kontoens utløpsdato er satt til «aldri».
For å endre utløpsdatoen, bruk alternativet -E
(utløp). Hvis du setter den til null, tolkes dette som «null dager fra Unix-epoken», dvs. 1. januar 1970.
Skriv inn følgende:
sudo chage -E0 mary
Sjekk utløpsdatoen for kontoen igjen:
sudo chage -l mary
Siden utløpsdatoen er i fortiden, er kontoen nå fullstendig låst, uavhengig av autentiseringsmetode. For å gjenopprette kontoen, bruk samme kommando med -1
som numerisk parameter:
sudo chage -E -1 mary
Skriv inn følgende for å dobbeltsjekke:
sudo chage -l mary
Kontoens utløpsdato er nå tilbakestilt til «aldri».
Endre passord via GNOME
Ubuntu og flere andre Linux-distribusjoner bruker GNOME som standard skrivebordsmiljø. Passord kan endres i «Innstillinger».
Klikk på Innstillinger-ikonet i systemmenyen.
I Innstillinger-vinduet, velg «Detaljer» i venstre panel og deretter «Brukere».
Velg brukeren du vil endre passordet for. I dette eksemplet velger vi «Mary Quinn». Etter at brukeren er valgt, klikk på «Lås opp».
Du blir bedt om passordet ditt. Etter autentisering blir «Marys» detaljer redigerbare. Klikk på «Passord»-feltet.
I «Endre passord»-dialogen, velg «Sett et passord nå».
Skriv inn det nye passordet i feltene «Nytt passord» og «Bekreft nytt passord».
Hvis passordene stemmer, blir «Endre»-knappen grønn. Klikk på den for å lagre det nye passordet.
Verktøyene for kontoadministrasjon vil være liknende i andre skrivebordsmiljøer enn GNOME.
Sikkerhetstips
Passord har vært en sentral del av online sikkerhet i 60 år, og de vil fortsatt være viktige i fremtiden.
Derfor er det viktig å håndtere dem med omhu. Ved å forstå passordmekanismer i Linux og følge beste praksis, kan du sørge for at systemet ditt er trygt.