ISGroup Consultoría de Ciberseguridad

Shadow Password Files

El término “Shadow Password Files” (archivos de contraseñas ocultas) se refiere a un archivo de sistema donde se almacenan las contraseñas de los usuarios de forma cifrada. Este método de almacenamiento de contraseñas se utiliza para mejorar la seguridad del sistema, evitando que las contraseñas sean fácilmente accesibles para personas malintencionadas que intentan vulnerar el sistema.

Funcionamiento

En la mayoría de los sistemas Unix y similares a Unix, las contraseñas de los usuarios se almacenan tradicionalmente en el archivo /etc/passwd. Sin embargo, este archivo suele ser legible por todos los usuarios del sistema, lo que representa un riesgo para la seguridad. Para mitigar este riesgo, se introdujo el concepto de “shadow password”.

El archivo shadow, generalmente denominado /etc/shadow, es accesible solo para usuarios con privilegios administrativos (como root). Este archivo contiene las versiones cifradas de las contraseñas de los usuarios, junto con otra información relacionada con la gestión de contraseñas, como la fecha de la última modificación y las reglas de caducidad.

Ventajas

  1. Seguridad mejorada: Dado que el archivo shadow solo puede ser leído por los administradores del sistema, se reduce significativamente el riesgo de que un usuario no autorizado pueda acceder a las contraseñas cifradas e intentar descifrarlas.
  2. Gestión centralizada: El archivo shadow permite gestionar de forma centralizada la información sobre las contraseñas de los usuarios, simplificando la aplicación de políticas de seguridad uniformes.
  3. Control de contraseñas: Además de almacenar las contraseñas cifradas, el archivo shadow contiene información adicional que permite imponer reglas de seguridad, como la caducidad periódica de las contraseñas, el bloqueo de cuentas tras un cierto número de intentos de acceso fallidos y otras políticas de seguridad.

Estructura del archivo Shadow

Un archivo /etc/shadow típico contiene líneas de texto, cada una de las cuales representa a un usuario del sistema. Cada línea se compone de varios campos separados por dos puntos (:):

  • Nombre de usuario: El nombre del usuario.
  • Contraseña cifrada: La contraseña cifrada del usuario.
  • Última modificación: La fecha de la última modificación de la contraseña, expresada en días desde la época (1 de enero de 1970).
  • Mínimo: El número mínimo de días entre cambios de contraseña.
  • Máximo: El número máximo de días que una contraseña puede utilizarse antes de tener que ser cambiada.
  • Aviso: El número de días antes de la caducidad de la contraseña durante los cuales el usuario recibe un aviso.
  • Inactivo: El número de días de inactividad después de la caducidad de la contraseña antes de que la cuenta sea deshabilitada.
  • Caducidad de la cuenta: La fecha en la que la cuenta será deshabilitada, expresada en días desde la época.

Conclusiones

Los “Shadow Password Files” representan un componente crucial para la seguridad de los sistemas Unix y similares a Unix. Al utilizar este enfoque, las contraseñas de los usuarios están mejor protegidas contra intentos de acceso no autorizados, garantizando al mismo tiempo una gestión centralizada y eficaz de las políticas de seguridad relacionadas con las contraseñas.

In