Hace un tiempo vimos como establecer la caducidad de claves en Linux con el comando passwd. Hoy vamos a aprender otra forma de hacerlo, en este caso con el comando chage, con el que además podemos especificar la caducidad de la cuenta de un usuario concreto, no sólo de su clave.

Echando un vistazo a la ayuda del comando vemos claramente la función de cada uno de los parámetros:

$ chage --help
Modo de uso: chage [opciones] [USUARIO]

Opciones:
  -d, --lastday ULTIMO_DÍA      establece el último cambio de clave a
                                ULTIMO_DÍA
  -E, --expiredate FECHA_EXP    establece la fecha de caducidad de la
                                cuenta a FECHA_EXP
  -h, --help                    muestra este mensaje de ayuda y termina
  -I, --inactive INACTIV        desactiva la cuenta después de INACTIV
                                días desde la fecha de expiración
  -l, --list                    muestra la información de envejecimiento
                                de la cuenta
  -m, --mindays DÍAS_MIN        establece el número mínimo de días antes
                                de cambiar la clave a DÍAS_MIN
  -M, --maxdays DÍAS_MAX        establece el número máximo de días antes
                                de cambiar la clave a DÍAS_MAX
  -W, --warndays DÍAS_AVISO     establece el número de días de aviso
                                a DÍAS_AVISO

Como podéis ver, se puede especifica la fecha exacta en la que expirará la clave de acceso, los días permitidos tras la expiración de la cuenta hasta que se desactiva por completo, los días de aviso, etc. Vamos a ver unos ejemplos:

Cambiar la fecha de expiración de la cuenta al día 2011-9-28 al usuario foo

# chage -E 2011-9-28 foo

Listamos los atributos de caducidad especificados para esta cuenta:

# chage -l foo
Último cambio de contraseña					: sep 07, 2011
La contraseña caduca					: nunca
Contraseña inactiva					: nunca
La cuenta caduca						: sep 28, 2011
Mínimo número de días entre cambios de contraseña		: 0
Máximo número de días entre cambios de contraseña		: 99999
Número de días de aviso antes de que caduque la contraseña	: 7

Cambiar número de días entre cambios de clave (15) y la caducidad por inactividad de la clave (150)

# chage -m 15 -M 15 -I 150 foo
# chage -l foo
Último cambio de contraseña					: sep 07, 2011
La contraseña caduca					: sep 22, 2011
Contraseña inactiva					: feb 19, 2012
La cuenta caduca						: sep 28, 2011
Mínimo número de días entre cambios de contraseña		: 15
Máximo número de días entre cambios de contraseña		: 15
Número de días de aviso antes de que caduque la contraseña	: 7

Obligar a cambiar la clave en el próximo intento de acceso

# chage -d 0 foo

El otro día aprendimos a securizar la gestión de claves en Linux mediante PAM, pero olvidé comentar un punto importante dentro de la gestión de contraseñas en un sistema GNU/Linux, se trata de la caducidad y expiración de claves de usuario.

Mediante passwd podemos forzar que la clave de un usuario caduque pasados X días., Así mismo, también podemos configurar el número de días que el usuario será avisado antes del cambio obligado de clave y el número de días una vez pasado este límite hasta que la cuenta se desactive.

Estos tres parámetros son los siguientes:

-x, --maxdays DÍAS_MÁX        establece a DÍAS_MÁX el número máximo de días antes del cambio de la contraseña
-w, --warndays DÍAS_AVISO     establece los días de aviso de expiración a DÍAS_AVISO
-i, --inactive INACTIVO       establece la inactividad de la contraseña tras su expiración a INACTIVO

Vamos a poner un ejemplo, si quisieramos que la clave del usuario “pruebas” caducara pasados 180 días, que le avisara durante los cinco últimos días de validez de la clave, y que si tras pasados 15 días sin modificar la clave se bloqueara, utilizaríamos la siguiente línea de comandos:

# passwd pruebas -x 180 -w 5 -i 15

Normalmente, recuperar o regenerar la clave de un usuario sin privilegios de Windows no es problema, ya que accedemos como Administrador y podemos modificar la clave de acceso de cualquier usuario. El problema suele venir cuando se pierde la clave de Administrador/Administrator y no se dispone de otra cuenta con privilegios para acceder.

Voy a nombrar unas cuantas herramientas que yo he utilizado alguna vez y con las que es posible recuperar la clave de los usuarios de Windows (normalmente funcionan tanto en XP como 2003, 2008, Vista…)

Ophcrack (gratuito)

Ophcrack es un LiveCD (distribución Linux), básicamente lo que hace es crackear las passwords de los usuarios de Windows. En primera instancia intenta sacar las claves por fuerza bruta, y después utiliza la potencia del procesador del equipo y la RAM para intentar descifrar los Hash.

Para usarlo, simplemente tienes que arrancar con el CD y esperar a que haga el trabajo correspondiente. He de decir que en mis pruebas, crackeo sin problemas claves con 10 o más carácteres que incluían mayúsculas, minúsculas y números, pero en cuanto añadía símbolos a las claves, la cosa se complicaba un poco… (@ ! # $ + – * / = % ( ) [ ]).

Nota: En discos SAS con controladoras RAID no lo conseguí hacer funcionar, en discos SATA, IDE, etc sin RAID por Hardware funcionó sin problemas.

Descarga OphCrack (guía de uso también disponible)

Windows Password Reset (de pago, $19.95)

Windows Password Reset, a diferencia de OphCrack, lo que hace es eliminar la clave del usuario que seleccionemos, de este modo al acceder al sistema tras realizarlo podemos entrar sin clave y generar una nueva.

Este software es de pago, tiene una demo (CD de arranque) que permite arrancar con el CD y ver si los usuarios de Windows son detectados, pero no deja resetear la clave.

He de decir que este software detecta las particiones montadas en discos SAS/SATA con controladoras RAID Hardware sin problemas (comprobado en servidores HP Proliant DLXXX). Su uso es muy sencillo, arrancas con el CD, seleccionas la instalación de Windows de la cual quieres borrar la clave de un usuario, te lista los usuarios y seleccionas el que quieras, en la siguiente imagen podéis ver todo el proceso:

Web de Windows Password Reset

Offline NT Password & Registry Editor (gratuito)

Offline NT Password & Registry Editor hace lo mismo que Windows Password Reset pero es gratuito, el modo de operar es el mismo, arrancas con un CD y puedes resetear la clave de un usuario de tu sistema Windows. Personalmente no lo he probado.

Web Offline NT Password & Registry Editor

Os dejo enlaces a otras herramientas por si estas no os han sido de utilidad:

John the Ripper password cracker

John the Ripper es un programa de criptografía que aplica fuerza bruta para descifrar contraseñas. Es capaz de romper varios algoritmos de cifrado o hash, como DES, SHA-1 y otros.

Es una herramienta de seguridad muy popular, ya que permite a los administradores de sistemas comprobar que las contraseñas de los usuarios son suficientemente buenas.

PC Login Now (de pago)

Funciona como Offline NT Password & Registry Editor pero es de pago, ya que es más sencillo de utilizar.

kon boot

Permite acceder al sistema operativo saltándose la solicitud de usuario y clave, funciona tanto en Windows como Linux.

Sitio web: Kon Boot

Ahora que en todos los medios se habla sobre el reciente ataque de phising a servidores de correo como Hotmail, en los que se han crackeado unas 10.000 contraseñas de cuentas de correo con una pésima seguridad en sus claves de acceso, os dejo un generador de claves aleatorias de números y letras (mayúsculas y minúsculas) escrito en bash:

strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 10 | tr -d '\n'; echo 

Si queréis más de 10 caracteres en la clave, simplemente cambiad el número que le pasamos a “head”:

# strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 15 | tr -d '\n'; echo
admk1iEtH7umbo8

Por supuesto, hay muchas formas de hacerlo, esta es simplemente una de ellas.

Ah! Viene bien recordar esta cita:

Treat your password like your toothbrush. Don’t let anybody else use it, and get a new one every six months

Clifford Stoll

Si alguien está interesado en probar la versión Pre-Release de el futuro Windows 7 ya puede hacerlo, a través de este enlace encontraréis un formación de como descargarlo a través de Internet y también podréis ver 15 claves de activación sin las cuales no podréis probar el producto.

A ver si por lo menos con Windows 7 han mejorado algo respecto a Windows Vista…