Já é sabido que a maior vulnerabilidade dentro das empresas ou mesmo computadores pessoais são justamente os próprios funcionários ou usuários.

Manter uma boa política de senhas é fundamental para garantir a segurança básica de suas informações e tentar minimizar as chances de alguém ter acesso indevido a elas.

Vou apresentar dicas simples para uma boa política de senhas que vão além das dicas comuns como “mantenha uma senha que contenha mais de 8 caracteres, sendo eles números, letras minúsculas, maiúsculas e caracteres especiais…”.

Em escritórios é importante haver também uma política de troca de senha regular. Mas, como forçar os usuários a seguirem essa política de troca de senha regular? Evitando que o mesmo se logue caso não troque a senha de forma periódica, claro.

Vamos começar pelo básico.

 

1- Definindo a complexidade das senhas de usuários:

Para definir a complexidade, precisaremos alterar a configuração de definição de senhas de usuários. O processo pode ser diferente, de acordo com a sua distribuição.

 

Arch Linux:

Edite o arquivo passwd que se encontra em /etc/pam.d/passwd, da seguinte forma:

# vim /etc/pam.d/passwd

Debian, Ubuntu, RedHat, CentOS e outras:

# vim /etc/pam.d/system-auth

 

Configure sua linha de senha de forma que fique algo parecido com o seguinte:

password       required        pam_cracklib.so difok=3 minlen=10 ucredit=3 ocredit=2 retry=3

Onde:

difok=3 -> Informa a quantidade de caracteres que podem se repetir em relação à última senha. Por exemplo: Se minha antiga senha era “kalib” e eu tento usar “kalamba” como nova senha, receberei uma informação de erro, pois eu repeti 3 letras que já existem na senha anterior “kal”.

minlen=10 -> Informa qual a quantidade mínima de caracteres aceitos para a senha do usuário. No exemplo, o mínimo de caracteres aceitos serão 10, caso contrário será apresentada uma mensagem de erro solicitando que o usuário tente uma nova senha.

ucredit=3 ->Informa a quantidade de letras maiúsculas que deverão compor minha senha. No exemplo, eu precisarei utilizar no mínimo 3 letras em maiúsculo, ou “Uper Characters” em minha nova senha.

ocredit=2 -> Informa a quantidade de “outros caracteres” ou caracteres especiais, como por exemplo *, &, %, $, _, etc.

retry=3 -> Informa quantas vezes o usuário vai poder tentar, em caso de senha indevida, antes de receber a mensagem de erro.

Outros parâmetros que podem ser utilizados são os seguintes:

dcredit=x -> Informa a quantidade de dígitos que deverão ser utilizados como números na senha, onde x é o número mínimo desejado.

lcredit=x -> Informa a quantidade de caracteres minúsculos, ou “Lower Characters”, mínimos em sua senha.

 

2- Definindo que a nova senha não poderá ser igual às anteriores:

No mesmo arquivo do ponto anterior, iremos inserir o parâmetro remember na linha conforme exemplo:

password sufficient pam_unix.so use_authtok md5 shadow remember=10

remember=10 -> Informa que a nova senha não poderá ser igual às últimas 10 senhas utilizadas por este usuário.

 

Agora que já sabemos como definir uma política para criação de senhas seguras, vamos conhecer o “chage“, que nos ajudará a definir a política de datas ou validade das senhas.

 

3- Checando as políticas de validade de senhas de um determinado usuário:

# chage -l usuário

O comando acima verifica os atributos de validade daquela senha, e lhe retornará algo similar ao seguinte:

Last password change : May 11, 2011

Password expires : never

Password inactive : never

Account expires : never

Minimum number of days between password change : 0

Maximum number of days between password change : 99999

Number of days of warning before password expires : 7

 
As informações acima apresentam dados como data de última mudança de senha, data de expiração, tempo de inatividade, quantidade mínima de dias para se trocar a senha antes de a mesma expirar, etc.
 
4- Criando uma “validade” ou período de expiração para a senha de um determinado usuário:

# chage -M 99999 linustorvalds

 
Este comando vai desabilitar o período de validade da senha, informando que a mesma não expira nunca.
 

# chage -M 50 -m 7 -W 7 linustorvalds

 
Este comando aplica a política de senha para o usuário “linustorvalds” onde:
-M 50 -> Define que a senha será válida por um máximo de 50 dias, quando a mesma deverá ser trocada.
-m 7 -> Define o número mínimo de dias em que o usuário poderá trocar sua senha antes do período especificado para expiração. Caso o usuário possa trocar a qualquer momento ou dia, o valor deverá ser 0.
-W 7 -> Número de dias antes de expirar nos quais o usuário vai receber alertas informando que sua senha irá expirar.
 
Caso você deseje especificar um dia exato no qual a senha de determinado usuário vai expirar, você pode utilizar o parâmetro -E seguido da data desejada no formato AAAA-MM-DD.
 
Além disto, você pode desejar que a senha do usuário “linustorvalds” seja trocada no próximo login do mesmo. Neste caso você poderá utilizar o parâmetro -d, conforme exemplo abaixo:

# chage -d 0 linuxtorvalds

 
O -d significa quantidade de dias também.
 

É isso pessoal.

Have fun!

É hora de se inscrever no Dia Livre!

Gostaria de comunicar que a grade para o 1º Dia Livre já foi fechada e liberada.

Neste sábado estarei ministrando a palestra “Software Livre e Cultura Hacker: Tenha ética e ganharás respeito” na Faculdade Farias Brito durante o 1º Dia Livre.

Segue grade do encontro:

Horário	Palestra	Palestrante
08:00 - 08:10	Abertura	-
08:10 - 09:00	Bacula - Solução livre de Backup	Diego Monte
09:10 - 10:00	Criando soluções automatizadas com ShellScript	Rafael de Carvalho Farias
10:00 - 10:20	CoffeeBreak	-
10:30 - 11:20	Software Livre e a Cultura Hacker: Tenha Ética e Ganharás Respeito	Marcelo Cavalcante
11;30 - 11:50	Sorteio de brindes e encerramento	-

Quando?

23 de Julho, Sábado – A partir das 08:00

Onde?

Faculdade Farias Brito
Rua Castro Monte, 1364 Varjota – Fortaleza, CE

Serão realizados dois sorteios ao final do encontro:

1 camisa da Tux-CE;

1 livro: The Art of Community – O’Reilly

Nos vemos lá!

 

Saudações pessoal.

Para quem não sabe, hoje é o lançamento da primeira edição da Revista Segurança Digital.

Segurança Digital é o mais novo projeto no qual estou engajado e espero poder ajudar no que for possível para a constante melhoria do projeto.

É com grande satisfação que estamos fazendo o lançamento oficial de nosso projeto com a primeira edição da Revista Segurança Digital. Neste mês de Julho a revista aborda aspectos mais genéricos em relação à Segurança da Informação como um todo. Desde as técnicas de FootPrinting e Varredura para identificação de vulnerabilidades e possíveis brechas até estratégias e mecanismos de Enumeração para reconhecimento de ambientes.

Com a matéria sobre Enumeração explicamos a importância de se fazer um mapeamento completo do alvo, que consiste em descobrir o máximo de informações possíveis sobre o mesmo, desde sistema operacional até mesmo versões de anti-vírus, firewall, aplicativos instalados, etc.

Recentemente todos perceberam que vários ataques de DoS e DDoS foram realizados à sites do Governo, Petrobras, dentre outros. Um artigo com uma breve explicação sobre como funcionam estes ataques é apresentado como forma de ilustrar de forma básica o funcionamento de um DoS/DDoS.

Resolvemos fazer uma breve apresentação sobre o BackTrack, uma distribuição Linux voltada para testes de segurança. Nesta matéria apresentamos alguns de seus recursos e ferramentas que podem ser utilizadas no dia-a-dia de qualquer profissional de Segurança da Informação para facilitar suas tarefas e análises, bem como auxiliar em projetos de PenTesting.

Aproveitamos para informar sobre a mais nova parceria realizada entre o Projeto Segurança Digital e a empresa de consultoria e soluções livres 4Linux que é líder no mercado no que diz respeito à soluções de tecnologia com ferramentas livres bem como treinamentos especializados nos mais diversos segmentos da computação como redes, bancos de dados, segurança, programação, dentre outros.

Não deixe de fazer o download desta edição e conferir o resultado desta força tarefa inicial.

Esperamos que gostem.

Gostaria de comunicar sobre o lançamento oficial do site do Dia Livre que se deu ontem, Domingo.

Recentemente escrevi aqui sobre um encontro regular que pretendemos organizar para usuários e profissionais de Software Livre em nossa região.

Ontem o site do Dia Livre foi lançado oficialmente e servirá de ponto de acesso e informações sobre tudo o que envolve o mesmo, como fotos, vídeos, inscrições, agenda, notícias, etc.

Em suas várias edições pretendemos abordar os mais diversos temas que rondam o mundo da tecnologia e do Software Livre como desenvolvimento, design, redes, segurança, bancos de dados, segurança, etc. Além de tecnologia, o evento também tende a abordar temas ligados à cultura, inclusão digital e social, dentre outros aspectos de importância e relevância similar.

Ainda não sabe o que é o Dia Livre?

Que tal visitar a página de apresentação do evento?

Deseja se manter informado? Você também pode seguir o @dia_livre no twitter e ficar por dentro do que rola.

Em breve teremos maiores notícias sobre a primeira edição.

Abraços!