Se gestisci una macchina Linux con più utenti, potresti occasionalmente volere o dover chiedere a un utente di cambiare la password. La causa più probabile di questo requisito è per uno scenario di primo utilizzo. Altri potenziali motivi per modificare una password, ad esempio un utente che la dimentica, essendo la password compromessa, o il ciclo di password regolare obbligatorio, non funzionano davvero con il concetto di manuale scadenza password.
Quando una password Linux è scaduta, l'utente è tenuto a cambiarla al successivo accesso. Se un utente ha dimenticato la password, non sarà mai in grado di accedere per poi modificare la password. Se la password di un utente è compromessa, dovrebbe essere cambiata immediatamente; alla scadenza corre il rischio che l'hacker acceda prima all'account e possa quindi impostare la password su qualsiasi valore. Se disponi di una politica che richiede la reimpostazione regolare della password, questa dovrebbe essere gestita automaticamente impostando un'età massima della password anziché password con scadenza manuale.
Nota: idealmente non dovresti più far scadere regolarmente le password, l'NCSC e il NIST, così come la più ampia comunità di sicurezza informatica, hanno ha cambiato la loro guida pubblica a causa di una ricerca che ha dimostrato che così facendo le persone sono più propense a scegliere deboli e stereotipate Le password. La guida è ora quella di fare in modo che gli utenti cambino le password solo quando c'è un ragionevole sospetto che la password sia stata compromessa. Non costringendo gli utenti a ricordare regolarmente nuove password, è più probabile che creino e ricordino una password più lunga, più complessa e sicura.
Quando crei per la prima volta un account per un utente, in genere viene creato con una password temporanea. L'utente deve quindi modificare questa password con qualcosa che può ricordare la prima volta che accede.
Come forzare la scadenza di una password
Per contrassegnare una password come "scaduta" e per obbligare l'utente a cambiare la propria password al successivo accesso, si desidera utilizzare il comando "passwd" insieme al flag "-e". Il flag "-e" fa scadere immediatamente la password di un account che li costringerà a cambiare la password al successivo accesso.
Il comando completo sarebbe "sudo passwd -e [nome utente]". Sudo è richiesto poiché il comando richiede i permessi di root per essere eseguito.
