Se você gerencia uma máquina Linux com vários usuários, pode ocasionalmente desejar ou precisar que um usuário altere sua senha. A causa mais provável para esse requisito é um cenário de uso pela primeira vez. Outros motivos potenciais para alterar uma senha, como o esquecimento do usuário, sendo a senha comprometida, ou ciclagem de senha regular obrigatória, realmente não funcionam com o conceito de manual expiração da senha.
Quando uma senha do Linux expira, o usuário é obrigado a alterá-la na próxima vez que fizer login. Se um usuário esqueceu a senha, ele nunca poderá fazer login para alterar a senha. Se a senha de um usuário for comprometida, ela deve ser alterada imediatamente; expirá-lo corre o risco de o hacker entrar primeiro na conta e, em seguida, definir a senha com qualquer valor. Se você tem uma política de exigir redefinições regulares de senha, isso deve ser gerenciado automaticamente definindo uma duração máxima da senha em vez de expirar manualmente as senhas.
Nota: Idealmente, você não deve expirar mais as senhas regularmente, o NCSC e o NIST, bem como a comunidade de segurança cibernética mais ampla, mudaram sua orientação pública devido a pesquisas que mostraram que fazer isso torna as pessoas mais propensas a escolher fracos e fórmulas senhas. A orientação agora é fazer com que os usuários alterem a senha apenas quando houver uma suspeita razoável de que a senha foi comprometida. Por não forçar os usuários a lembrar regularmente as novas senhas, é mais provável que eles criem e lembrem uma senha mais longa, complexa e forte.
Quando você cria uma conta para um usuário pela primeira vez, normalmente ela é criada com uma senha temporária. O usuário deve então alterar essa senha para algo que consiga lembrar na primeira vez que fizer login.
Como forçar a expiração de uma senha
Para marcar uma senha como “expirada” e forçar o usuário a alterar sua senha na próxima vez que efetuar login, use o comando “passwd” junto com o sinalizador “-e”. O sinalizador “-e” expira imediatamente a senha de uma conta, o que as forçará a alterar sua senha na próxima vez que fizerem login.
O comando completo seria “sudo passwd -e [nome de usuário]”. Sudo é necessário, pois o comando requer permissões de root para ser executado.
