Si administra una máquina Linux con varios usuarios, es posible que ocasionalmente desee o necesite que un usuario cambie su contraseña. La causa más probable de este requisito es un escenario de uso por primera vez. Otras posibles razones para cambiar una contraseña, como que un usuario la olvide, la contraseña es el ciclo regular de contraseñas comprometido u obligatorio, no funciona realmente con el concepto de manual caducidad de la contraseña.
Cuando una contraseña de Linux caduca, el usuario debe cambiarla la próxima vez que inicie sesión. Si un usuario ha olvidado su contraseña, nunca podrá iniciar sesión y luego cambiar su contraseña. Si la contraseña de un usuario se ve comprometida, debe cambiarse de inmediato; caducarla corre el riesgo de que el pirata informático inicie sesión en la cuenta primero y luego pueda establecer la contraseña con cualquier valor. Si tiene una política que exige el restablecimiento regular de contraseñas, esto debe administrarse automáticamente estableciendo una antigüedad máxima de contraseña en lugar de caducar manualmente las contraseñas.
Nota: Idealmente, ya no debería caducar las contraseñas con regularidad, el NCSC y el NIST, así como la comunidad de ciberseguridad en general, tienen cambiaron su orientación pública debido a una investigación que mostró que al hacerlo, las personas son más propensas a elegir débiles y formulados contraseñas. La guía ahora es hacer que los usuarios cambien las contraseñas solo cuando exista una sospecha razonable de que la contraseña se ha visto comprometida. Al no obligar a los usuarios a recordar nuevas contraseñas con regularidad, es más probable que creen y recuerden una contraseña más larga, compleja y segura.
Cuando crea una cuenta para un usuario por primera vez, normalmente se crea con una contraseña temporal. Luego, el usuario debe cambiar esta contraseña por algo que pueda recordar la primera vez que inicie sesión.
Cómo forzar la expiración de una contraseña
Para marcar una contraseña como "caducada" y obligar al usuario a cambiar su contraseña la próxima vez que inicie sesión, debe utilizar el comando "passwd" junto con la bandera "-e". El indicador "-e" expira inmediatamente la contraseña de una cuenta, lo que las obligará a cambiar su contraseña la próxima vez que inicien sesión.
El comando completo sería "sudo passwd -e [nombre de usuario]". Se requiere sudo ya que el comando requería permisos de root para ejecutarse.
