Linux : Comment configurer les paramètres dancienneté des mots de passe par défaut pour les nouveaux comptes

Si vous gérez un système Linux, l'une des tâches que vous devrez peut-être effectuer est de gérer les mots de passe des paramètres pour les comptes d'utilisateurs. Dans le cadre de ce processus, vous devrez probablement gérer les paramètres des comptes existants et nouveaux.

La gestion des paramètres de mot de passe pour les comptes existants se fait via la commande "passwd", bien qu'il existe d'autres alternatives. Vous pouvez définir des paramètres par défaut pour les comptes qui seront créés à l'avenir, ce qui vous évite de modifier manuellement les paramètres par défaut pour chaque nouveau compte.

Les paramètres sont configurés dans le fichier de configuration "/etc/login.defs". Comme le fichier se trouve dans le répertoire "/etc", il nécessitera des autorisations root pour le modifier. Pour éviter tout problème où vous apportez des modifications puis ne pouvez pas les enregistrer car vous n'avez pas d'autorisations, assurez-vous de lancer votre éditeur de texte préféré avec sudo.

La section souhaitée se trouve près du milieu du fichier et s'intitule « Contrôles du vieillissement du mot de passe ». Il contient trois paramètres, "PASS_MAX_DAYS", "PASS_MIN_DAYS" et "PASS_WARN_AGE". Respectivement, ils sont utilisés pour définir combien de jours un mot de passe peut être valide avant de devoir être réinitialisé, combien de temps après un changement de mot de passe un autre peut être effectué et combien de jours un utilisateur reçoit un avertissement avant que son mot de passe n'expire.

Les valeurs par défaut des contrôles de vieillissement des mots de passe peuvent être trouvées et configurées dans le fichier « /etc/login.defs ».

"PASS_MAX_DAYS" par défaut à 99999 qui est utilisé pour indiquer que les mots de passe ne doivent pas expirer automatiquement. "PASS_MIN_DAYS" par défaut à 0, ce qui signifie que les utilisateurs peuvent changer leur mot de passe aussi souvent qu'ils le souhaitent.

Astuce : une limite minimale d'âge du mot de passe est normalement associée à un mécanisme d'historique des mots de passe afin d'empêcher les utilisateurs de modifier leur mot de passe, puis de le remettre immédiatement à ce qu'il était.

« PASS_WARN_AGE » est défini par défaut sur sept jours. Cette valeur n'est utilisée que si le mot de passe d'un utilisateur est configuré pour expirer.

Comment configurer les paramètres de vieillissement des mots de passe par défaut pour les nouveaux comptes

Si vous souhaitez configurer ces valeurs pour que les mots de passe expirent automatiquement tous les 90 jours, qu'un âge minimum d'un jour soit appliqué et que les utilisateurs soient avertis 14 jours avant leur expiration, vous devez définir les valeurs "90", "1" et " 14" respectivement. Une fois que vous avez apporté les modifications souhaitées, enregistrez le fichier. Tous les nouveaux comptes créés après la mise à jour du fichier auront les paramètres que vous avez configurés appliqués par défaut.

Les valeurs « 90 », « 1 » et « 14 » respectivement, configurent les mots de passe pour qu'ils expirent automatiquement tous les 90 jours, soient modifiés au plus une fois par jour et avertissent les utilisateurs que leur mot de passe doit être modifié quatorze jours avant son expiration.

Remarque : À moins que les stratégies ne l'exigent, vous devez éviter de configurer des mots de passe pour qu'ils expirent automatiquement au fil du temps. Le NCSC, le NIST et la communauté de la cybersécurité au sens large recommandent désormais que les mots de passe n'expirent que lorsqu'il existe des soupçons raisonnables qu'ils ont été compromis. Cela est dû à des recherches qui ont montré que les réinitialisations obligatoires régulières des mots de passe poussent activement les utilisateurs à choisir des mots de passe plus faibles et plus conventionnels, plus faciles à deviner. Lorsque les utilisateurs ne sont pas obligés de créer et de mémoriser régulièrement un nouveau mot de passe, ils sont plus à même de créer des mots de passe plus longs, plus complexes et généralement plus forts.