Administración de las contraseñas y del acceso en un sistema de confianza

La contraseña es el símbolo más importante de identificación individual. El sistema la utiliza para autenticar a un usuario y franquearle el acceso al sistema. Puesto que las contraseñas son susceptibles a su divulgación cuando se utilizan, almacenan o conocen, deben mantenerse en secreto en todo momento.

La primera parte de esta sección se parece a la sección «Administración de las contraseñas y del acceso en un sistema estándar», pero desde el punto de vista de un sistema de confianza. La sección estándar también contiene la siguiente información sobre cómo proteger el acceso al sistema:

Responsabilidades del administrador de la seguridad

El responsable de la seguridad y todos los usuarios del sistema deben compartir la responsabilidad de la seguridad de las contraseñas. Al responsable de la seguridad le competen las siguientes funciones relacionadas con la seguridad:

Crear números de autorización (contraseñas provisionales) para los usuarios nuevos. A fin de proteger la confidencialidad de las contraseñas, el SAM genera un número de autorización para cada cuenta nueva. Este número debe utilizarse durante el primer inicio de sesión. El sistema, después de comprobar este número, le pide al usuario nuevo que escriba una contraseña nueva.
Mantener los permisos de acceso apropiados en todos los archivos del sistema, incluidos el archivo estándar de contraseñas /etc/passwd y los archivos de la base de datos de confianza /tcb/files/auth/*.
Fijar la caducidad de las contraseñas.
Manejar la reutilización de contraseñas.
Eliminar o anular las contraseñas caducadas y los números de identificación y las contraseñas de los usuarios que ya no sean aptos para obtener acceso al sistema.

Responsabilidad del usuario

Todos los usuarios deben atenerse a las siguientes normas:

Recordar la contraseña y guardarla en secreto en todo momento.
Cambiar la contraseña inicial de inmediato y modificar la contraseña cada cierto tiempo.
Informar de los cambios de estado y de las presuntas infracciones de seguridad que se produzcan.
Asegurarse de que nadie les observa mientras escriben la contraseña.
Elegir una contraseña distinta para cada equipo en el que exista una cuenta.

Criterios para establecer una contraseña correcta

Observe las siguientes pautas al elegir una contraseña:

Una contraseña debe presentar una longitud mínima de seis caracteres y una longitud máxima de 80 caracteres. Entre los caracteres especiales se pueden incluir caracteres de control y símbolos, como asteriscos y barras. En modo estándar, sólo se utilizan los ocho primeros caracteres. En modo de confianza, la totalidad de los 80 caracteres son significativos.
Después de realizar una conversión a un sistema de confianza, sólo se admitirán los primeros ocho caracteres de una contraseña convertida. Los usuarios que tengan una contraseña más larga en el sistema estándar deben utilizar sólo los primeros ocho caracteres de la misma cuando inicien por primera vez una sesión en el sistema de confianza. Posteriormente, pueden optar por una contraseña más larga, si así lo desean. Si un sistema se vuelve a convertir a modo estándar, las contraseñas se truncan reduciéndose a los primeros ocho caracteres.
No elija una palabra extraída de un diccionario de ningún idioma, aun cuando la escriba al revés. Hay programas de software con capacidad para buscarla con tino.
No elija una contraseña que pueda asociársele fácilmente; por ejemplo: el nombre de un familiar o el de una mascota, o un pasatiempo.
No utilice secuencias de teclado sencillas, como asdfghjkl, ni repeticiones del nombre de inicio de sesión (p. ej., si el nombre de inicio de sesión es ana, una contraseña no aconsejable sería anaana).
Las palabras escritas incorrectamente o las combinaciones de sílabas de dos palabras que no guarden relación entre sí son buenas candidatas a contraseñas adecuadas. Otro método extendido para crear contraseñas consiste en utilizar las iniciales de un título o una frase predilectos.
Considere el uso de un generador de contraseñas que combine sílabas para conformar un galimatías pronunciable.

La dirección debe prohibir que se compartan contraseñas. Constituye una infracción de la seguridad que los usuarios compartan contraseñas.

Archivos de contraseñas

Un sistema de confianza mantiene varios archivos de contraseñas: el archivo /etc/passwd y los archivos de la base de datos protegida de contraseñas /tcb/files/auth/ (consulte la sección «La base de datos /tcb/files/auth/»). Cada usuario tiene una entrada en los dos archivos y el comando login analiza ambas entradas para autenticar las solicitudes de inicio de sesión.

Si se ha configurado el NIS+, este proceso es más complejo; consulte la sección «Network Information Service Plus (NIS+)».

Todas las contraseñas se cifran inmediatamente después de la entrada y se almacenan en el archivo /tcb/files/auth/carácter_usuario/nombre_usuario, el archivo de la base de datos protegida de contraseñas. En las comparaciones sólo se utilizan contraseñas cifradas.

Ninguno de los dos archivos de contraseñas debe contener ningún campo vacío ni nulo. En los sistemas de confianza, se hace caso omiso del campo de contraseña del archivo /etc/passwd. Un usuario con un campo de contraseña vacío tendrá que definir una contraseña al iniciar una sesión en un sistema de confianza. Sin embargo, incluso con esta medida de protección existe la posibilidad de que se produzca una infracción de la seguridad, porque cualquier usuario puede definir la contraseña para una cuenta con un campo vacío o nulo antes de la primera inicialización.

No modifique directamente los archivos de contraseñas. Utilice el SAM o los comandos useradd, userdel o usermod para modificar las entradas de los archivos de contraseñas.

HP-UX genera los siguientes archivos de asignación para acelerar el acceso a los archivos de contraseñas:

/tcb/files/auth/system/pw_id_map
/tcb/files/auth/system/gr_id_map
/tcb/files/auth/system/aid_id_map

Cabe la posibilidad de que exista desincronización entre estos archivos de asignación y los archivos de la base de datos de contraseñas, lo que impediría a los usuarios iniciar una sesión. Dado el caso, elimine los archivos de asignación. El sistema volverá a generar automáticamente archivos de asignación nuevos.

El archivo /etc/passwd

El archivo /etc/passwd se utiliza para identificar a un usuario en el momento de iniciar una sesión en un sistema de confianza. Dicho archivo contiene una entrada para cada cuenta del sistema HP-UX. Cada entrada consta de siete campos separados por dos puntos. Una entrada típica del archivo /etc/passwd en un sistema de confianza presenta este aspecto:

robin:*:102:99:Robin Hood,Rm 3,x9876,408-555-1234:/home/robin:/usr/bin/sh

Los campos contienen los siguientes datos (enumerados en orden de aparición) separados por dos puntos:

El nombre de usuario (inicio de sesión), que consta de un máximo de ocho caracteres. (En el ejemplo: robin.)
El campo de contraseña no utilizado, que está ocupado por un asterisco en lugar de por una contraseña real. (*)
El número de identificación de usuario (uid), un número entero que varía entre 0 y MAXINT-1, igual a 2.147.483.646 ó 2³¹ -2. (102)
La identificación de grupo (gid), un número entero guardado en el archivo /etc/group que varía entre 0 y MAXINT-1. (99)
El campo de comentario, que se utiliza para escribir información de identificación, como el nombre completo del usuario, la ubicación y los números de teléfono. Por motivos históricos, este campo también se llama gecos. (Robin Hood,Rm 3,x9876,408-555-1234)
El directorio inicial, es decir, el directorio de inicio de sesión original del usuario. (/home/robin)
El nombre de ruta del programa de inicio de sesión, que se ejecuta cuando el usuario inicia una sesión. (/usr/bin/sh)

El usuario puede cambiar el campo de comentario (el quinto campo) con el comando chfn y el nombre de ruta del programa de inicio de sesión (el séptimo campo) con el comando chsh. El administrador del sistema configura el resto de los campos. El número de identificación de usuario (uid) debe ser único. Consulte las páginas de manual de chfn(1), chsh(1), passwd(1) y passwd(4). El usuario puede modificar la contraseña de la base de datos protegida de contraseñas con el comando passwd.

La base de datos /tcb/files/auth/

Cuando un sistema se convierte en un sistema de confianza, la contraseña cifrada, que en general se ubica en el segundo campo del archivo /etc/passwd, se traslada a la base de datos protegida de contraseñas y un asterisco le guarda el sitio en el archivo /etc/passwd.

Los archivos de la base de datos protegida de contraseñas se almacenan en la jerarquía /tcb/files/auth/. Los perfiles de autenticación de usuario se almacenan en estos directorios en función de la inicial del nombre de cuenta del usuario. Por ejemplo, el perfil de autenticación del usuario david se almacena en el archivo /tcb/files/auth/d/david.

En los sistemas de confianza, los elementos de seguridad principales se guardan en la base de datos protegida de contraseñas, cuyo acceso es exclusivo de los superusuarios. Las entradas de datos de contraseñas deben definirse con ayuda del SAM. Los datos de contraseñas que no se definan para un usuario adoptarán por defecto los valores por defecto del sistema almacenados en el archivo /tcb/files/auth/system/default.

La base de datos protegida de contraseñas contiene muchas entradas de autenticación del usuario. Consulte la página de manual de prpwd(4) para ampliar la información sobre dichas entradas, que incluyen:

El nombre de usuario y el número de identificación de usuario (uid).
La contraseña cifrada.
El propietario de la cuenta.
El indicador de inicio (define si el usuario puede iniciar el sistema en modo monousuario o no). (Consulte la página de manual de security(4).)
El número de identificación de auditoría y el indicador de auditoría (define si la auditoría está activada o no).
El intervalo de tiempo mínimo entre los cambios de contraseña.
La longitud máxima de la contraseña.
La fecha de caducidad de la contraseña (después de la cual debe cambiarse la contraseña).
La duración de la contraseña (a su conclusión, la cuenta se bloquea).
La fecha de la última modificación fructuosa e infructuosa de la contraseña.
La hora (fecha) ineludible a la que caduca la cuenta.
El tiempo máximo que se permite entre inicios de sesión antes de bloquear la cuenta.
El número de días previos a la fecha de caducidad en que se mostrará un mensaje de advertencia.
La generación de contraseñas por parte del usuario o por parte del sistema.
La realización de una comprobación de denominación común en relación con las contraseñas generadas por el usuario.
El tipo de contraseñas generadas por el sistema.
La autorización de contraseñas nulas para esta cuenta.
El número de identificación de usuario de la última persona que cambió la contraseña, si no es el propietario de la cuenta.
Los intervalos durante los cuales esta cuenta se puede utilizar para iniciar una sesión.
El terminal o los sistemas host remotos asociados a los últimos inicios de sesión fructuoso e infructuoso en esta cuenta.
El número de intentos de inicio de sesión infructuosos: se borra al producirse un inicio de sesión fructuoso.
El número máximo de intentos de inicio de sesión permitido antes de bloquear la cuenta.

Selección y generación de contraseñas

En los sistemas de confianza, el administrador del sistema puede controlar cómo se generan las contraseñas. Se dispone de las siguientes opciones para generar contraseñas:

Contraseñas generadas por el usuario.
Se facilita una opción de filtrado de las contraseñas para comprobar el uso de nombres de inicio de sesión y grupo, permutaciones de nombres de inicio de sesión y grupo, y palíndromos.
Una contraseña nueva y la antigua deben diferir en al menos tres caracteres.
Contraseñas generadas por el sistema sólo mediante la combinación de letras.
Contraseñas generadas por el sistema mediante la combinación de letras, números y caracteres de puntuación.
Contraseñas generadas por el sistema mediante la combinación de sílabas pronunciables sin sentido.

Se pueden definir las opciones de generación de contraseñas para un sistema. Asimismo, el administrador del sistema puede definir opciones de generación de contraseñas en función de cada usuario, lo que anula la definición por defecto del sistema.

Se debe definir al menos una opción de generación de contraseñas para cada usuario. Si un usuario dispone de más de una opción, cuando dicho usuario cambie su contraseña, se mostrará un menú de generación de contraseñas.

Caducidad de las contraseñas

El administrador del sistema puede activar o desactivar la caducidad de las contraseñas para cada usuario. Cuando la caducidad de las contraseñas está activada, el sistema conserva los siguientes datos en relación con la contraseña:

Intervalo mínimo. El intervalo mínimo obligatorio que debe transcurrir entre los cambios de contraseña. Esto impide que los usuarios cambien la contraseña y, acto seguido, den marcha atrás para evitar tener que memorizar la contraseña nueva.
Fecha de caducidad. Una fecha después de la cual un usuario debe cambiar la contraseña en el momento del inicio.
Fecha de advertencia. La fecha anterior a la fecha de caducidad en que se emitirá un mensaje de advertencia.
Duración. Intervalo al final del cual la cuenta asociada a la contraseña se bloquea si la contraseña no se cambia. Una vez bloqueada una cuenta, el único con capacidad para desbloquearla es el administrador del sistema. Una vez desbloqueada la cuenta, antes de que el usuario pueda iniciar una sesión en ella, la contraseña aún debe cambiarse.

Los valores de fecha de caducidad y duración se restablecen al cambiar una contraseña. Un valor de duración igual a cero indica que las contraseñas no caducan; en este caso, los demás valores de caducidad de contraseñas no tienen ningún efecto.

Historial y reutilización de las contraseñas

En los sistemas de confianza, el administrador del sistema puede activar la característica de historial de contraseñas en todo el sistema con el fin de disuadir a los usuarios de que reutilicen un margen de contraseñas anteriores que varía entre una y diez.

El historial de contraseñas se activa al definir el siguiente parámetro en una línea del archivo /etc/default/security:

PASSWORD_HISTORY_DEPTH=n

donde n es un número entero que varía entre 1 y 10 e indica el número de contraseñas anteriores por comprobar. Si n es menor que 1, o la entrada no está presente, se adopta el valor por defecto de 1; si n es mayor que 10, se adopta el valor por defecto de 10.

Cuando un usuario cambia la contraseña, esta nueva contraseña se coteja con las n contraseñas anteriores empezando por la actual. Si se da alguna coincidencia, la contraseña nueva se rechaza. Si n es igual a 2, se impide que los usuarios alternen entre dos contraseñas.

Para obtener información pormenorizada, consulte las páginas de manual de passwd(1) y security(4).

Control del acceso en función del tiempo

En los sistemas de confianza, el administrador del sistema puede precisar para cada usuario horas del día y días de la semana en los que se permite iniciar una sesión. Cuando un usuario intente iniciar una sesión fuera del tiempo de acceso permitido, el suceso se registrará (si se ha habilitado la auditoría para los intentos de inicio de sesión fructuosos e infructuosos) y el inicio de sesión se interrumpirá. Los superusuarios pueden iniciar una sesión fuera del tiempo de acceso permitido, pero el suceso se registra. El margen permitido de tiempos de acceso se almacena en la base de datos protegida de contraseñas para los usuarios y se puede definir con el SAM. Los usuarios que tengan una sesión iniciada cuando se agote un margen no serán desconectados.

Control del acceso en función del dispositivo

En los sistemas de confianza, el administrador del sistema puede especificar una lista de usuarios con permiso de acceso para cada puerto MUX y puerto DTC dedicado. Cuando la lista asociada a un dispositivo es nula, se permite el acceso a todos los usuarios.

La información de acceso a los dispositivos se almacena en la base de datos de asignación de dispositivos, /tcb/files/devassign, que contiene una entrada para cada dispositivo de terminal que contenga el sistema de confianza. Un campo de la entrada enumera los usuarios con permiso de acceso al dispositivo.

La información de inicio de sesión en los terminales de un sistema de confianza se almacena en la base de datos de control de los terminales, /tcb/files/ttys, que facilita los siguientes datos para cada uno de ellos:

El nombre de dispositivo.
El número de identificación de usuario del último usuario que haya iniciado con éxito una sesión en el terminal.
La hora del último inicio de sesión fructuoso en el terminal.
La hora del último inicio de sesión infructuoso en el terminal.
El número de inicios de sesión infructuosos y consecutivos antes de producirse el bloqueo del terminal.
El indicador del bloqueo del terminal.

Los superusuarios son los únicos que pueden obtener acceso a estas bases de datos de los sistemas de confianza y definir las entradas con ayuda del SAM. Para obtener más información, consulte las páginas de manual de devassign(4) y ttys(4).

Manejo de las bases de datos de un sistema de confianza

Las rutinas de las bibliotecas de las siguientes páginas de manual se pueden utilizar para obtener acceso a la información que contienen los archivos de contraseñas y otras bases de datos de los sistemas de confianza.

getdvagent(3)
		Manejar las entradas de dispositivo en `/tcb/files/devassign`.
getprdfent(3)
		Manejar los valores por defecto del sistema en `/tcb/files/auth/system/default`.
getprpwent(3)
		Obtener las entradas de contraseñas de `/tcb/files/auth/`.
getprtcent(3)
		Manejar la base de datos de control de acceso a terminales: `/tcb/files/ttys`.
getpwent(3C)
		Obtener las entradas de contraseñas de `/etc/passwd`.
putpwent(3C)
		Escribir las entradas del archivo de contraseñas en `/etc/passwd`.
getspwent(3X)
		Obtener las entradas de contraseñas de `/tcb/files/auth/`; a efectos de compatibilidad retroactiva.
putspwent(3X)
		Escribir las entradas de contraseñas en `/tcb/files/auth/`; a efectos de compatibilidad retroactiva.
putprpwnam(3)
		Escribir las entradas del archivo de contraseñas en `/tcb/files/auth/`.