¿Es correcta la contraseña de sudo corto?

Navega tus respuestas
5

En un servidor que controlo, he deshabilitado los inicios de sesión de contraseña (solo clave pública), pero todavía debo ingresar mi contraseña para acceder a sudo. Esto se está volviendo engorroso, ya que uso una contraseña larga, generada automáticamente. Me encuentro con frecuencia teniendo que copiar / pegar la contraseña.

Supongo que es una mala idea desactivar la verificación de contraseña para sudo (ya que te abre la amenaza de cualquier secuencia de comandos que ejecutes en voz baja en segundo plano).

¿Por lo tanto, sería razonable utilizar una contraseña corta y bastante débil?

Este sistema en particular ejecuta varios servicios web (accesibles a través de Internet) y solo puede ser SSH'ed a través de un servidor de puerta de enlace (que a su vez es accesible a través de Internet).

    
pregunta Steve Bennett 09.07.2013 - 02:39
fuente

4 respuestas

10

Ya reconoció que no tener contraseña es una mala idea debido a que se puede acceder a su servidor a través de Internet. Sin una contraseña de sudo, significa que está confiando en su autenticación de clave pública.

Si se encontrara una vulnerabilidad en la autenticación que le permita a un atacante iniciar sesión:

Sin contraseña de sudo

Significa que su servidor se vería comprometido a un nivel en el que el atacante tiene acceso total. Obviamente, esto no es bueno.

Contraseña corta

Suponiendo que no descubras rápidamente la vulnerabilidad, un atacante podría intentar ataques de fuerza bruta o de diccionario.

Conclusión

Tener una contraseña de tamaño decente ofrecería una capa adicional de protección si su autenticación de clave pública fallara. Como Stephen señaló en la sección de comentarios, mencionó que el servidor también está ejecutando servicios web. Esto significa que los usuarios de los servicios también confían en su seguridad. El atacante podría editar fácilmente sus archivos para difundir algunos malwares con la contraseña.

Consulte esta pregunta para algunos pensamientos sobre la longitud de la contraseña.

    
respondido por el Simon 09.07.2013 - 03:07
fuente
3

Las contraseñas de 8 o más caracteres son fáciles de escribir y lo suficientemente buenas, si no usa una palabra común y usa combinaciones de mayúsculas, minúsculas, números y símbolos especiales. Sólo 8 contraseñas de caracteres es el mandato en muchas empresas corporativas. Estas compañías también obligan a los usuarios a cambiar sus contraseñas en 2-3 meses. La contraseña de 8 caracteres de fuerza bruta (dado que la contraseña contiene combinaciones de mayúsculas, minúsculas, números y símbolos especiales) tomará más que una vida humana con sistemas generales, a menos que no esté usando súper computadoras. Por favor, lea esto para más detalles- > enlace

    
respondido por el Kumar Vikramjeet 09.07.2013 - 14:20
fuente
1

Definitivamente, siempre y cuando sea una contraseña de un solo uso.

Es bastante simple agregar autenticación de dos factores a cualquier servicio de Linux usando pam_radius: enlace .

    
respondido por el nowen 09.07.2013 - 16:01
fuente
0

aprenda a usar contraseñas seguras y guárdelas en algo como Keepass

el uso de esto generalmente no es mucho más lento que escribir una contraseña débil, y puede usar más de 32 caracteres: contraseñas sin problemas.

    
respondido por el that guy from over there 09.07.2013 - 10:02
fuente

Lea otras preguntas en las etiquetas

¿Por qué es mejor usar un administrador de contraseñas que un simple archivo passwords.txt? Cuando se hacen hashing de las contraseñas, ¿está bien almacenar el algoritmo utilizado allí mismo en la base de datos?