Les mots de passe constituent la m�thode principale utilis�e par Red Hat Enterprise Linux pour v�rifier l'identit� d'un utilisateur. Dans de telles circonstances, la s�curit� des mots de passe a une tr�s grande importance dans le cadre de la protection de l'utilisateur, du poste de travail et du r�seau.
Pour des raisons de s�curit�, le programme d'installation configure le syst�me de mani�re � ce que l'algorithme Message-Digest Algorithm (MD5) et les mots de passe masqu�s soient utilis�s. Il est fortement recommand� de ne pas modifier ces param�tres.
Si vous d�s�lectionnez les mots de passe MD5 lors de l'installation, l'ancien format Data Encryption Standard (DES) sera alors utilis�. Ce format limite les mots de passe � des entit�s compos�es de huit caract�res alphanum�riques (excluant les signes de ponctuation et tout autre caract�re sp�cial) et fournit un faible niveau de cryptage de 56-bit.
Si vous d�s�lectionnez les mots de passe masqu�s durant l'installation, tous les mots de passe seront stock�s en tant que hachage � sens unique dans le fichier /etc/passwd qui est lisible par tout un chacun. Dans de telles circonstances, le syst�me est vuln�rable aux tentatives de craquage de mots de passe hors ligne. Si un agresseur peut s'approprier l'acc�s � un ordinateur en tant qu'un utilisateur r�gulier, il peut copier le fichier /etc/passwd sur son propre ordinateur et ensuite ex�cuter tout programme de craquage de mots de passe sur ce dernier. Si le fichier contient un mot de passe non-s�curis�, ce n'est qu'une question de temps avant que le craqueur de mots de passe ne le d�couvre.
Les mots de passe masqu�s �liminent ce type d'attaque en stockant les hachages de mots de passe dans le fichier /etc/shadow qui n'est lisible que par le super-utilisateur.
Dans de telles circonstances, l'agresseur est oblig� de craquer le mot de passe � distance en se connectant � un service r�seau sur l'ordinateur, tel que SSH ou FTP. Ce type d'agression force brute est plus lent et laisse des traces �videntes puisque des centaines de tentatives de connexions infructueuses sont enregistr�es dans les fichiers syst�me. Bien s�r, si le craqueur lance une attaque au milieu de la nuit et que vous disposez de mots de passe faiblement prot�g�s, ce dernier pourra r�ussir dans sa tentative avant m�me le lever du jour et modifier les fichiers journaux pour effacer ses traces.
Au-del� des probl�mes de format et de stockage, il existe le probl�me du contenu. La mesure la plus importante qu'un utilisateur puisse prendre pour prot�ger son compte contre le craquage de mots de passe consiste � cr�er un mot de passe vraiment herm�tique.
4.3.1. Cr�ation d'un mot de passe herm�tique
Lors de la cr�ation d'un mot de passe s�curis�, il est recommand� de suivre les instructions suivantes�:
N'utilisez pas les strat�gies suivantes�:
N'utilisez pas uniquement des mots et des nombres — Vous ne devriez pas utiliser uniquement des nombres et des mots dans un mot de passe.
�vitez par exemple les choix suivants�:
8675309
juan
hackme
N'utilisez pas de mots reconnaissables — �vitez d'utiliser des mots comme des noms propres, des mots du dictionnaire ou m�me des termes tir�s de programmes t�l�vis�s ou de romans, m�me s'ils sont termin�s par des nombres.
�vitez par exemple les choix suivants�:
john1
DS-9
mentat123
N'utilisez pas de mots d'une langue �trang�re — Les programmes de craquage de mots de passe effectuent souvent leur comparaison par rapport � des listes de mots qui incluent les dictionnaires de nombreuses langues �trang�res. Ainsi, l'utilisation de langues �trang�res comme strat�gie pour des mots de passe s�curis�s n'est pas vraiment efficace.
�vitez par exemple les choix suivants�:
cheguevara
bienvenido1
1dumbKopf
N'utilisez pas la terminologie des pirates — Si vous pensez que vous faites partie de l'�lite parce que vous utilisez la terminologie des pirates — �galement appel�e langage 1337 (LEET) — dans votre mot de passe, reconsid�rez la chose�! En effet, de nombreuses listes de mots incluent le langage LEET.
�vitez par exemple les choix suivants�:
H4X0R
1337
N'utilisez pas d'informations personnelles — �vitez l'utilisation de toute information personnelle. Si des agresseurs connaissent votre identit�, il leur sera facile de deviner votre mot de passe. Ci-dessous figure une liste de types d'informations � �viter lors de la cr�ation d'un mot de passe�:
�vitez par exemple les choix suivants�:
Votre nom
Le nom d'animaux domestiques
Les noms de certains membres de votre famille
Toute date de naissance
Votre num�ro de t�l�phone ou code postal
N'inversez pas les lettres de mots reconnaissables — Les v�rificateurs de mots de passe performants inversent toujours les lettres de mots courants�; ainsi, cette strat�gie appliqu�e � un mauvais choix de mot de passe ne le rend pas plus s�r.
�vitez par exemple les choix suivants�:
R0X4H
nauj
9-DS
Ne gardez pas de trace de votre mot de passe — Ne conservez jamais votre mot de passe sur papier. Il est beaucoup plus s�r de le m�moriser.
N'utilisez pas le m�me mot de passe pour tous les ordinateurs — Il est important d'attribuer des mots de passe diff�rents � tous vos ordinateurs. De cette fa�on, si un syst�me est compromis, l'ensemble de vos ordinateurs ne sera pas imm�diatement en danger.
Suivez les recommandations suivantes�:
Assurez-vous que votre mot de passe a une longueur d'au moins huit caract�res — Plus le mot de passe est long, mieux c'est. Si vous utilisez des mots de passe MD5, ils devraient avoir une longueur d'au moins 15 caract�res. Avec des mots de passe DES, utilisez la longueur maximale — huit caract�res.
M�langez les lettres minuscules et majuscules — Red Hat Enterprise Linux �tant sensible � la casse, il est recommand� de m�langer minuscules et majuscules afin de rendre le mot de passe le plus herm�tique possible.
M�langez lettres et chiffres — En incorporant des chiffres dans les mots de passe, en particulier lorsqu'ils se trouvent � l'int�rieur du mot (pas simplement au d�but ou � la fin) il est possible de rendre le mot de passe plus herm�tique.
Incluez des caract�res autres que les caract�res alphanum�riques — Des caract�res sp�ciaux comme &, $ et > permettent de rendre le mot de passe beaucoup plus herm�tique (ce qui n'est pas possible avec des mots de passe DES).
Choisissez un mot de passe dont vous vous souviendrez — Le meilleur des mots de passe n'est pas vraiment utile si vous ne pouvez pas vous en rappeler. Essayez donc d'utiliser des acronymes ou autres moyens mn�motechniques pour vous aider � m�moriser vos mots de passe.
Avec toutes ces r�gles, la cr�ation d'un mot de passe remplissant tous les crit�res d'un bon mot de passe tout en �vitant ceux d'un mauvais mot de passe semble une t�che tr�s difficile. Heureusement, en suivant certaines �tapes tr�s simples, il est possible de cr�er un mot de passe facilement m�morisable et s�r.
4.3.1.1. M�thodologie pour la cr�ation d'un mot de passe s�r
Il existe de nombreuses m�thodes pour cr�er des mots de passes s�rs. L'une des m�thodes les plus populaires consiste � utiliser des acronymes. Par exemple�:
Pensez � une citation connue et inoubliable, comme�:
��rien ne sert de courir, il faut partir � point.��
Ensuite, transformez-la en acronyme (incluant la ponctuation).
rnsdc,ifp�p.
Ajoutez un certain degr� de complexit� en substituant les lettres de l'acronyme par des chiffres et symboles. Par exemple, substituez la lettre p par 7 et la lettre n par le symbole arobase (@), comme suit�:
r@sdc,if7�7.
Ajoutez encore plus de complexit� en mettant en majuscule au moins une lettre, comme par exemple la lettre C.
r@sdC,if7�7.
Finalement, n'utilisez jamais l'exemple de mot de passe ci-dessus sur aucun de vos syst�mes.
Il est certes imp�ratif de cr�er des mots de passe, mais une bonne gestion de ces derniers est �galement importante, particuli�rement dans le cas d'administrateurs syst�me au sein de grandes soci�t�s. La partie suivante examine de fa�on d�taill�e de bonnes strat�gies pour cr�er et g�rer des mots de passe utilisateurs au sein d'une soci�t�.
4.3.2. Cr�ation de mots de passe utilisateurs au sein d'une soci�t�
Si une soci�t� compte un grand nombre d'utilisateurs, les administrateurs syst�me ont � leur disposition deux options simples pour forcer l'utilisation de bons mots de passe. Ils peuvent soit cr�er des mots de passe pour les utilisateurs, soit laisser les utilisateurs cr�er leur propre mot de passe, tout en v�rifiant que ces derniers sont bien de qualit� acceptable.
La cr�ation de mots de passe pour les utilisateurs permet certes de s'assurer que les mots de passe sont bien choisis, mais cette t�che devient de plus en plus difficile au fur et � mesure que la soci�t� grandit. Cette strat�gie augmente �galement le risque que les utilisateurs �crivent leur mot de passe.
Pour ces raisons, la plupart des administrateurs syst�me pr�f�rent que les utilisateurs cr�ent leur propre mot de passe, mais les v�rifient activement afin de s'assurer qu'ils sont acceptables et, dans certains cas, forcent les utilisateurs � changer leurs mots de passes p�riodiquement gr�ce � l'attribution d'une dur�e de vie aux mots de passe.
4.3.2.1. Utilisation forc�e de mots de passe herm�tiques
Afin de prot�ger le r�seau contre toute intrusion, il est recommand� aux administrateurs syst�me de v�rifier que les mots de passe utilis�s au sein d'une soci�t� sont bien herm�tiques. Lorsque le syst�me demande aux utilisateurs de cr�er ou de changer leurs mots de passe, ils peuvent utiliser l'application en ligne de commande passwd, qui prend en charge les Modules d'authentification enfichables (PAM) et v�rifiera si le mot de passe est facile � craquer ou s'il est trop court au moyen du module PAM pam_cracklib.so. �tant donn� que PAM est personnalisable, il est possible d'ajouter d'autres v�rificateurs d'int�grit� des mots de passe en utilisant par exemple pam_passwdqc (disponible � partir du site https://www.openwall.com/passwdqc/) ou en �crivant votre propre module. Pour obtenir une liste des modules PAM disponibles, rendez-vous � l'adresse suivante�: https://www.kernel.org/pub/linux/libs/pam/modules.html. Pour davantage d'informations sur PAM, reportez-vous au chapitre intitul� Modules d'authentification enfichables (PAM) du Guide de r�f�rence de Red Hat Enterprise Linux.
Toutefois, il est important de noter ici que la v�rification effectu�e sur les mots de passe lors de leur cr�ation ne permet pas de d�couvrir les mauvais mots de passe de mani�re aussi efficace qu'en ex�cutant un programme de craquage de mots de passe pour les mots de passe utilis�s au sein d'une soci�t�.
De nombreux programmes de craquage de mots de passe peuvent �tre utilis�s sous Red Hat Enterprise Linux, bien qu'aucun ne soit vendu avec le syst�me d'exploitation lui-m�me. Ci-dessous figure une liste de certains des programmes de craquage de mots de passe les plus populaires�:
Remarque
Aucun de ces outils n'est fourni avec Red Hat Enterprise Linux. Ils ne sont donc d'aucune mani�re pris en charge par Red Hat, Inc..
John The Ripper — Un programme de craquage de mots de passe rapide et flexible. Il permet l'utilisation de multiples listes de mots et a la possibilit� de craquer des mots de passe par force brute (brute-force cracking). Ce dernier est disponible en ligne � l'adresse suivante�: https://www.openwall.com/john/.
Crack — Outre le fait qu'il est probablement le logiciel de craquage de mots de passe le plus connu, Crack est �galement tr�s rapide, bien que d'utilisation moins simple que John The Ripper. Il est disponible en ligne � l'adresse suivante�: https://www.crypticide.com/users/alecm/.
Slurpie — Le programme Slurpie est semblable � John The Ripper et Crack, � la diff�rence pr�s qu'il est con�u pour une ex�cution simultan�e sur de multiples ordinateurs, cr�ant ainsi une attaque de craquage de mots de passe distribu�e. Il est �galement disponible avec d'autres outils d'�valuation de s�curit� en relation avec des agressions distribu�es qui se trouvent en ligne � l'adresse suivante�: https://www.ussrback.com/distributed.htm.
Avertissement
Demandez toujours une autorisation par �crit avant d'essayer de craquer des mots de passe au sein d'une soci�t�.
4.3.2.2. Expiration des mots de passe
L'attribution d'une dur�e de vie aux mots de passe est une autre technique utilis�e par les administrateurs syst�me pour se prot�ger contre l'utilisation de mauvais mots de passe au sein d'une soci�t�. En attribuant une p�riode de validit� aux mots de passe, une certaine dur�e (g�n�ralement 90 jours) est d�finie et une fois cette p�riode �coul�e, l'utilisateur est invit� � cr�er un nouveau mot de passe. La th�orie justifiant cette proc�dure repose sur le fait que si un utilisateur doit changer son mot de passe p�riodiquement, un mot de passe craqu� par un agresseur ne peut servir que pour une dur�e limit�e. Le revers de la m�daille est que les utilisateurs auront plus tendance � �crire leurs mots de passe.
Sous Red Hat Enterprise Linux, il existe deux programmes principaux permettant de sp�cifier une dur�e de vie aux mots de passe�: la commande chage ou l'application graphique Gestionnaire d'utilisateurs (system-config-users).
L'option -M de la commande chage d�termine la dur�e maximale en jours pendant laquelle le mot de passe est valide. Ainsi, si vous souhaitez par exemple que le mot de passe d'un utilisateur expire dans 90 jours, saisissez la commande suivante�:
chage -M 90 <username>
Dans la commande ci-dessus, remplacez <username> par le nom de l'utilisateur. Si vous ne souhaitez pas donner une dur�e d'expiration au mot de passe, utilisez la valeur traditionnelle 99999 apr�s l'option -M (cette valeur correspond � une dur�e l�g�rement sup�rieure � 273 ann�es).
Vous pouvez �galement utiliser l'application graphique Gestionnaire d'utilisateurs pour d�finir des politiques d'expiration de mots de passe. Pour y acc�der, cliquez sur Menu principal (sur le panneau) => Param�tres de syst�me => Utilisateurs et groupes ou saisissez la commande system-config-users � une invite du shell (par exemple, dans un terminal XTerm ou GNOME). Cliquez sur l'onglet Utilisateurs, s�lectionnez l'utilisateur parmi la liste des utilisateurs et cliquez sur Propri�t�s (ou choisissez Fichier => Propri�t�s dans le menu d�roulant).
S�lectionnez ensuite l'onglet Informations sur le mot de passe et ins�rez le nombre de jours devant pr�c�der l'expiration du mot de passe, comme le montre la Figure 4-1.
Figure 4-1. Fen�tre de l'onglet Informations sur le mot de passe
Pour davantage d'informations sur la configuration d'utilisateurs et de groupes (y compris des instructions sur la mani�re de forcer des mots de passe initiaux), reportez-vous au chapitre intitul� Configuration d'utilisateurs et de groupes du Guide d'administration syst�me de Red Hat Enterprise Linux. Pour obtenir un aper�u de la gestion d'utilisateurs et de ressources, reportez-vous au chapitre intitul� Gestion des comptes utilisateur et de l'acc�s aux ressources du manuel Introduction � l'administration syst�me de Red Hat Enterprise Linux.