Mots de passe Linux: comment forcer un utilisateur à réinitialiser son mot de passe

Si vous gérez une machine Linux avec plusieurs utilisateurs, vous pouvez parfois souhaiter ou avoir besoin de demander à un utilisateur de modifier son mot de passe. La cause la plus probable de cette exigence est un scénario de première utilisation. D'autres raisons potentielles de changer un mot de passe telles qu'un utilisateur l'oublie, le mot de passe étant le cycle de mot de passe régulier compromis ou obligatoire, ne fonctionne pas vraiment avec le concept de manuel expiration du mot de passe.

Lorsqu'un mot de passe Linux a expiré, l'utilisateur doit le modifier la prochaine fois qu'il se connecte. Si un utilisateur a oublié son mot de passe, il ne pourra jamais se connecter, puis changer son mot de passe. Si le mot de passe d'un utilisateur est compromis, il doit être modifié immédiatement; son expiration court le risque que le pirate se connecte d'abord au compte et puisse ensuite définir le mot de passe sur n'importe quelle valeur. Si vous avez pour politique d'exiger des réinitialisations régulières des mots de passe, cela doit être géré automatiquement en définissant un âge maximal des mots de passe plutôt que d'expirer manuellement les mots de passe.

Remarque: Idéalement, vous ne devriez plus expirer régulièrement les mots de passe, le NCSC et le NIST ainsi que la communauté plus large de la cybersécurité ont changé leurs directives publiques en raison de recherches qui ont montré que cela rend les gens plus susceptibles de choisir faible et stéréotypé mots de passe. L'orientation est désormais de n'obliger les utilisateurs à changer de mot de passe que lorsqu'il existe un soupçon raisonnable que le mot de passe a été compromis. En n'obligeant pas les utilisateurs à mémoriser régulièrement de nouveaux mots de passe, ils sont plus susceptibles de créer et de mémoriser un mot de passe plus long, plus complexe et plus fort.

Lorsque vous créez pour la première fois un compte pour un utilisateur, il est généralement créé avec un mot de passe temporaire. L'utilisateur doit ensuite remplacer ce mot de passe par quelque chose dont il se souviendra la première fois qu'il se connectera.

Comment forcer l'expiration d'un mot de passe

Pour marquer un mot de passe comme « expiré » et pour forcer l'utilisateur à changer son mot de passe la prochaine fois qu'il se connectera, vous souhaitez utiliser la commande « passwd » avec le drapeau « -e ». L'indicateur "-e" expire immédiatement un mot de passe de compte qui les obligera à changer leur mot de passe la prochaine fois qu'ils se connecteront.

La commande complète serait « sudo passwd -e [nom d'utilisateur] ». Sudo est requis car la commande nécessite des autorisations root pour s'exécuter.

La commande « sudo passwd -e [nom d'utilisateur] » fait immédiatement expirer le mot de passe de l'utilisateur spécifié, l'obligeant à le modifier la prochaine fois qu'il se connectera.
La sécurité des mots de passe est extrêmement importante, et pas seulement sur une machine Windows - assurez-vous de changer souvent vos mots de passe (et ceux des autres utilisateurs), afin que personne ne puisse accéder sans autorisation à leurs comptes.