Respuestas
La solicitud de identificación de usuario y de la contraseña constituye el primer control de seguridad para acceder al sistema. Los usuarios suelen elegir contraseñas sencillas y fáciles de recordar, lo que dificulta la tarea del administrador. Por eso el administrador debe recomendar algunas sugerencias para la selección de contraseñas, teniendo en cuenta el principio “las contraseñas complejas funcionan”:
Las contraseñas cuanto más largas mejor. Las contraseñas en Linux deben tener una longitud mínima de seis caracteres. Teóricamente no hay máximo pero algunos sistemas sólo reconocen los 8 primeros caracteres de la contraseña. No es excesivamente costoso un programa que, de manera aleatoria, trate de adivinar las contraseñas por ello cuanto más larga más tardará en encontrarla.
Nunca seleccione como contraseña una palabra del diccionario o una palabra que le identifique fácilmente, como su dirección, su nombre, hijos, número de teléfono, fecha de nacimiento, DNI,…
Se aconseja, como contraseña, la elección de dos palabras cortar unidas por un enlace, como: mi-casa, ptx&mix, hi!clan
Otro método puede ser memorizar una frase y seleccionar las iniciales de sus palabras, como, por ejemplo: al pan pan y al vino vino sería appyavv
La seguridad incluye, igualmente, detectar aquellas cuentas que pueden suponer un problema para la integridad del sistema, como:
Cuentas sin contraseñas. Pueden comprobarse si el segundo campo de las líneas del fichero /etc/passwd están en blanco. Una solución es inhabilitar el acceso a ese usuario colocando un asterisco (*) y así bloquear la cuenta.
Cuentas no utilizadas. Puede pensar en eliminar el acceso o bloquearlo utilizando el asterisco.
Cuentas predeterminadas, creadas por algunos paquetes software con una contraseña por defecto. Repasarlas para poner contraseñas de acorde con las cuentas.
Cuentas de invitados, donde personas ajenas al sistema tienen permiso de entrada al sistema. Son problemáticas pues un intruso tiene más fácil violar la seguridad estando dentro del sistema. Se sugiere tenerlas bloqueadas mientras no se necesiten.
Cuentas de acceso de comandos. Existen unas cuentas que dan acceso a la ejecución de ciertos comandos como finger o date, que permiten la ejecución del comando y su posterior expulsión del sistema. Cuando utilice estas cuentas hay que asegurarse de que no aceptan datos desde la línea de comandos o no tienen ninguna posibilidad de escape. También ciertas llamadas como finger o who permite extraer información del sistema como los “logins” de algunos usuarios lo que equivale a conocer la mitad del código de acceso.
Cuentas de grupo. Si utiliza contraseñas para grupo normalmente son muchos los que tendrán que conocer la contraseña, situación que puede ser peligrosa. Aunque se añadan contraseñas a grupos se aconseja mantener activas las contraseñas de usuarios.