Kernidee:

* Op tijd gebaseerde vervaldatum: Na een bepaald aantal dagen (gedefinieerd door de systeembeheerder) wordt het wachtwoord van een gebruiker "oud" en moet hij/zij dit bij de volgende aanmelding wijzigen.

Hoe het werkt (belangrijkste kenmerken):

* `leeftijd` in `/etc/shadow`: De meest voorkomende implementatie wordt beheerd via het bestand `/etc/shadow` (waarin wachtwoordinformatie veilig wordt opgeslagen). Dit bestand bevat voor elke gebruiker kenmerken die verband houden met wachtwoordveroudering. De belangrijkste kenmerken die u mogelijk tegenkomt zijn:

* `last_changed` (Laatste wijzigingsdatum): Het aantal dagen sinds het tijdperk (1 januari 1970) waarin het wachtwoord voor het laatst is gewijzigd. Dit is het uitgangspunt voor het berekenen van de veroudering.

* `min_days` (minimale wachtwoordleeftijd): Het minimum aantal dagen dat moet verstrijken *voordat* een gebruiker zijn wachtwoord opnieuw mag wijzigen. Dit voorkomt dat gebruikers onmiddellijk terugkeren naar een oud, mogelijk gecompromitteerd wachtwoord.

* `max_days` (maximale wachtwoordleeftijd): Het maximale aantal dagen dat een wachtwoord geldig kan zijn. Na zoveel dagen wordt de gebruiker gedwongen dit bij de volgende login te wijzigen.

* `warn_days` (waarschuwingsperiode): Het aantal dagen *voor* het verstrijken van `max_days` dat de gebruiker waarschuwingen zal ontvangen over het verlopen van zijn wachtwoord. Dit geeft hen de tijd om het gemakkelijk te veranderen.

* `inactieve_dagen` (inactiviteitsperiode): Het aantal dagen nadat een wachtwoord is verlopen dat het account is uitgeschakeld. Sluit de gebruiker effectief buiten.

* `expire_date` (vervaldatum account): Een vaste datum (dagen sinds het tijdperk) waarop het gehele account onbruikbaar wordt. Dit is een apart concept, maar wordt vaak gebruikt in combinatie met wachtwoordveroudering om tijdelijke accounts te beheren.

* `vlag`: Een vlag die kan worden gebruikt om de functie voor wachtwoordveroudering uit te schakelen of om een ​​wachtwoordwijziging af te dwingen bij de volgende aanmelding.

* `passwd` commando: Gebruikers en beheerders gebruiken doorgaans de opdracht `passwd` om wachtwoorden te wijzigen. Wanneer een gebruiker zijn wachtwoord wijzigt, wordt de datum `laatst_gewijzigd` in `/etc/shadow` bijgewerkt.

* Inlogproces: Wanneer een gebruiker probeert in te loggen, controleert het systeem de datum 'last_changed' met de waarden 'max_days' en 'warn_days' in '/etc/shadow'. Als het wachtwoord is verlopen, wordt de gebruiker gevraagd dit te wijzigen *voordat* hij toegang krijgt tot zijn account. Als het wachtwoord bijna verloopt, wordt er een waarschuwingsbericht weergegeven.

Voorbeeld:

Laten we zeggen dat `/etc/shadow` de volgende (vereenvoudigde) invoer heeft voor een gebruiker met de naam "john":

```

john:$6$somesalt$hashstring:19400:7:90:7:-1:::

```

Zo interpreteert u dit (uitgaande van de standaardbetekenissen van de velden):

* `john`:Gebruikersnaam.

* `$6$somesalt$hashstring`:Wachtwoord-hash.

* `19400`:`last_changed` (dagen sinds het tijdperk).

* `7`:`min_days` (moet minimaal 7 dagen wachten voordat u opnieuw kunt wijzigen).

* `90`:`max_days` (wachtwoord verloopt na 90 dagen).

* `7`:`warn_days` (waarschuw de gebruiker 7 dagen vóór de vervaldatum).

* `-1`:`inactieve_dagen` (uitgeschakeld). Niet gebruikt in dit voorbeeld.

* `:::` - Vervaldatum van account (leeg, wat betekent dat er geen vervaldatum is)

Dit betekent:

1. John heeft zijn wachtwoord voor het laatst gewijzigd op dag 19400 (sinds het tijdperk).

2. Hij moet minimaal 7 dagen wachten voordat hij deze weer kan wijzigen.

3. Zijn wachtwoord vervalt 90 dagen na 19400.

4. Hij wordt 7 dagen vóór de vervaldatum gewaarschuwd voor de vervaldatum.

Hulpmiddelen voor beheer:

* `passwd` commando: Zoals gezegd gebruiken gebruikers en beheerders `passwd` om wachtwoorden te wijzigen.

* `chage` commando: Het `chage` commando (change age) is specifiek ontworpen om wachtwoordverouderingsparameters in `/etc/shadow` te beheren. Beheerders gebruiken het om de `min_days`, `max_days`, `warn_days`, etc. in te stellen voor individuele gebruikers.

* PAM (inplugbare authenticatiemodules): PAM is een raamwerk waarmee u authenticatiemechanismen kunt aanpassen. Wachtwoordveroudering wordt doorgaans afgehandeld via PAM-modules, die flexibiliteit bieden bij de implementatie ervan. Je configureert PAM in bestanden onder `/etc/pam.d/`.

* `/etc/login.defs`: Dit bestand stelt systeembrede standaardinstellingen in voor wachtwoordveroudering en andere login-gerelateerde parameters. Waarden die hier worden ingesteld, worden vaak als uitgangspunt gebruikt, tenzij ze worden overschreven door specifieke gebruikersinstellingen in `/etc/shadow`.

Waarom wachtwoordveroudering gebruiken?

* Beperk het kraken van wachtwoorden: Zelfs als een wachtwoord zwak is of gecompromitteerd is door brute force-aanvallen of woordenboekaanvallen, zal het uiteindelijk worden gewijzigd, waardoor de kans voor de aanvaller wordt beperkt.

* Verminder de impact van hergebruikte wachtwoorden: Veel gebruikers hergebruiken wachtwoorden voor meerdere accounts. Als één dienst wordt gecompromitteerd, lopen de wachtwoorden van de gebruiker op andere diensten gevaar. Regelmatige wachtwoordwijzigingen kunnen dit helpen verminderen.

* Naleving: Veel beveiligingsbeleid en -regelgeving vereisen dat wachtwoordveroudering een best practice op het gebied van beveiliging is.

* Insidebedreigingen: Wachtwoordveroudering kan de risico's helpen beperken van ontevreden of voormalige werknemers die mogelijk een wachtwoord kennen.

Nadelen:

* Ergernis van gebruikers: Gebruikers vinden frequente wachtwoordwijzigingen vaak vervelend, wat leidt tot:

* Voorspelbare wachtwoorden: Gebruikers kunnen eenvoudigweg een getal aan het einde van hun wachtwoord verhogen, waardoor ze gemakkelijk voorspelbaar worden.

* Post-it-notities: Het opschrijven van wachtwoorden schiet zijn doel voorbij.

* Wachtwoordvermoeidheid: Gebruikers vergeten mogelijk vaker hun wachtwoord, waardoor het aantal helpdeskbezoeken toeneemt.

* Gaat niet in op phishing of social engineering: Wachtwoordveroudering alleen biedt geen bescherming tegen gebruikers die hun wachtwoord vrijwillig weggeven.

Moderne overwegingen (buiten traditionele wachtwoordveroudering):

Hoewel wachtwoordveroudering al lang een beveiligingspraktijk is, suggereren moderne aanbevelingen vaak een verschuiving in de richting van:

* Sterke wachtwoorden: Dwing vereisten voor wachtwoordcomplexiteit af (lengte, tekentypen) en voorkom dat gebruikers zwakke of gemakkelijk te raden wachtwoorden gebruiken. Tools als `pwquality` en PAM-modules helpen hierbij.

* Multi-Factor Authenticatie (MFA): Voeg een extra beveiligingslaag toe die verder gaat dan alleen een wachtwoord (bijvoorbeeld een code van een mobiele app).

* Wachtwoordbeheerders: Moedig gebruikers aan om wachtwoordmanagers te gebruiken om sterke, unieke wachtwoorden voor elk account te genereren en op te slaan.

* Monitoring en waarschuwingen: Detecteer verdachte inlogactiviteiten (bijvoorbeeld ongebruikelijke inloglocaties, meerdere mislukte inlogpogingen).

* Detectie van gehackte wachtwoorden: Gebruik services die detecteren of wachtwoorden zijn gelekt bij datalekken en gebruikers op de hoogte stellen om deze te wijzigen.

Wachtwoordveroudering wordt op zichzelf niet langer beschouwd als een complete beveiligingsoplossing, maar kan nog steeds een nuttig onderdeel zijn van een bredere beveiligingsstrategie, vooral in combinatie met andere best practices. De beste aanpak hangt af van de specifieke beveiligingsbehoeften en risicotolerantie van de organisatie.