Improper Password Configurations of AIX User Accounts

ประเด็น

จากการตรวสอบไฟล์ “/etc/security/user” พบว่าค่าปรับแต่ง (parameters) ของระบบปฏิบัติการ “AIX” สำหรับการควบคุมรหัสผ่าน (password) ของแต่ละบัญชีผู้ใช้นั้นไม่ได้มีการตั้งค่าไว้อย่างเหมาะสม ปล่อยให้เป็นไปตามค่าที่ถูกตั้งแต่ติดตั้งระบบปฏิบัติการ (default value)

สำหรับค่าปรับแต่งดังกล่าวมีความสำคัญอย่างยิ่งเมื่อมีการสร้างบัญชีผู้ใช้ใหม่ (new user accounts) รหัสผ่านจะถูกบังคับให้เป็นไปตามค่าที่บันทึกไว้ในไฟล์ดังกล่าวซึ่งส่งผลให้รหัสผ่านมีความยาว (password length) และมีอายุการใช้งานเพื่อเปลี่ยนรหัสผ่านใหม่ที่เหมาะสม

“/etc/security/user” โดย “default stanza” จะกำหนดค่าปรับแต่งเป็นค่าเริ่มต้นตั้งแต่ติดตั้งระบบปฏิบัติการตัวอย่างเช่น

default:
admin = false No administrative privileges
login = true Yes, user can login directly
su = true Yes, user can ‘su’ to another account
daemon = true Yes, user can execute programs via SRC
rlogin = true Yes, user can login remotely
sugroups = ALL Any groups can ‘su’ to this account
admgroups = User administers no other groups
ttys = ALL Which terminals can access the user account
auth1 = SYSTEM The first authentication method
auth2 = NONE The second authentication method
tpath = nosak Defines the user’s trusted path characteristics
umask = 022 Definition of permissions for the created objects
expires = 0 Date of account expiration (0 = never expires)
SYSTEM = "compat" Authentication methods
logintimes = Times the user can login
pwdwarntime = 14 The number of days, user will be forced to change password
account_locked = false Can user login or not?
loginretries = 5 How many invalid login attempts will lock out the account
histexpire = 0 The number of weeks, user will not be able to reuse the password
histsize = 5 The number of previous passwords that cannot be reused
minage = 1 The minimum number of weeks between password changes
maxage = 0 The maximum age of password in weeks
maxexpired = 0 The number of weeks after maxage that user can still change his/her password
minalpha = 1 The minimum number of alpha characters
minother = 1 The minimum number of no alpha characters
minlen = 0 The minimum length of a password
mindiff = 3 The minimum number of different characters in the new passwordMinimalnej ilości różnych charakterów pomiędzy hasłami
maxrepeats = 8 The maximum number of times a character can be repeated ( 8 = unlimited) Charakter nie może się powtarzać więcej niż ta wartość
dictionlist = The path to the dictionary files
pwdchecks = Location of external password validation engine

ผลกระทบ

รหัสผ่านที่มีความยาวสั้นและไม่มีการบังคับให้เปลี่ยนรหัสผ่าน เปิดโอากาสให้ความสำเร็จในการเดารหัสโดยผู่ไม่ประสงค์ดีมีความสำเร็จมากยิ่งขึ้น ซึ่งอาจส่งผลกระทบต่อการเข้าถึงระบบสารเทศโดยไม่ได้รับอนุญาตส่งผลกระทบต่อความน่าเชื่อของระบบสารสนเทศและข้อมูลทางธุรกิจของบริษัท

ข้อแนะนำ

  1.  กำหนดนโยบายการควบคุมรหัสผ่าน (Password Policy) และประกาศใช้งานอย่างเป็นทางการ โดยมีเนื้อหาเกี่ยวการกำหนดให้รหัสผ่านมีความซับซ้อนและยาวเพียงพอ รวมถึงอายุของรหัสผ่านจะต้องมีการกำหนดไว้อย่างเป็นทางการ เช่น รหัสผ่านควรมีความยาวตั้งแต่ 8 ตัวอักษรขึ้นไป และมีอายุการใช้งานไม่เกิน 60 วันจากนั้นต้องมีการเปลี่ยนรหัสผ่านใหม่เป็นต้น
  2. วิเคราะห์ผลกระทบของการปรับแต่งค่ารหัสผ่านกับบัญชีผู้ใช้ของระบบ (system) หรือโปรแกรมประยุกต์ต่าง ๆ (application) ถ้ามีผลกระทบให้สร้าง profile ใหม่และแยกออกมาหรับระบบหรือโปรแกรมประยุกต์นั้น
  3. บัญชีผู้ใช้สำหรับเจ้าหน้าที่ควรมีการควบคุมให้เป็นไปตามนโยบายควบคุมรหัสผ่าน (Password Policy) ตามข้อ (1)

ขั้นตอนการตรวจสอบ

วัตถุประสงค์การตรวจสอบ

  • จะต้องมีการกำหนดนโยบายควบคุมรหัสผ่านและประกาศใช้อย่างเป็นทางการ
  • ค่าปรับแต่งต้องสอดคล้องกับนโยบายควบคุมรหัสผ่าน หรือดังตัวอย่างเช่น
    • maxage 8 อาทิตย์
    • minage 1 อาทิตย์
    • minlen 8 ตัวอักษร
    • histexpire 13 อาทิตย์

ขั้นตอน

  1. รวบรวมข้อมูลบัญชีผู้ใช้จากไฟล์ “/etc/security/user”
  2. ตรวจสอบค่าพารามิเตอร์ของแต่ละ “profile” เทียบกับ “password policy” หรือ “security standard”
  3. โดยแต่ละ profile จะมีลักษณะ ชื่อ “user” ตามด้วย “:” แต่ถ้าเป็น “default stanza” จะครอบคลุมทุก “user”
  4. เพื่อป้องกันความเสียหายที่จะเกิดขึ้นกับ “system” หรือ “application” จะต้องสัมภาษณ์ผู้ดูแลระบบเกี่ยวกับวัตถุประสงค์ของแต่ละบัญชีผู้ใช้เสียก่อน
    • ถ้าไม่มีผลกระทบสามารถใช้ “default stanza” ได้
    • ถ้ามีผลกระทบให้แยก Profile สำหรับบัญชีผู้ใช้นั้น ๆ

ใส่ความเห็น