Dacă gestionați o mașină Linux cu mai mulți utilizatori, ocazional este posibil să doriți sau să fie necesar să determinați un utilizator să-și schimbe parola. Cauza cea mai probabilă pentru această cerință este pentru un scenariu de utilizare pentru prima dată. Alte motive potențiale de a schimba o parolă, cum ar fi uitarea de către utilizator, parola fiind compromisă sau ciclul obișnuit obligatoriu al parolei, nu funcționează cu adevărat cu conceptul de manual expirarea parolei.
Când o parolă Linux expiră, utilizatorului i se cere să o schimbe data viitoare când se conectează. Dacă un utilizator și-a uitat parola, nu se va putea conecta niciodată pentru a-și schimba parola. Dacă parola unui utilizator este compromisă, aceasta ar trebui schimbată imediat; expirând riscă ca hackerul să se conecteze mai întâi la cont și apoi să poată seta parola la orice valoare. Dacă aveți o politică de a solicita resetări regulate a parolei, atunci aceasta ar trebui gestionată automat prin setarea unei vechimi maxime a parolei, mai degrabă decât parolele care expiră manual.
Notă: În mod ideal, nu ar trebui să mai expirați în mod regulat parolele, NCSC și NIST, precum și comunitatea mai mare de securitate cibernetică au și-au schimbat îndrumările publice datorită cercetărilor care au arătat că acest lucru îi face pe oameni mai susceptibili să aleagă slabi și formule parolele. Îndrumarea este acum de a determina utilizatorii să schimbe parolele numai atunci când există o suspiciune rezonabilă că parola a fost compromisă. Neforțând utilizatorii să-și amintească în mod regulat parole noi, este mai probabil să creeze și să-și amintească o parolă mai lungă, mai complexă și puternică.
Când creați prima dată un cont pentru un utilizator, de obicei, acesta este creat cu o parolă temporară. Utilizatorul ar trebui apoi să schimbe această parolă cu ceva ce își poate aminti prima dată când se conectează.
Cum să forțați expirarea unei parole
Pentru a marca o parolă ca „expirată” și pentru a forța utilizatorul să-și schimbe parola data viitoare când se conectează, doriți să utilizați comanda „passwd” împreună cu indicatorul „-e”. Indicatorul „-e” expiră imediat o parolă de cont, ceea ce îi va forța să-și schimbe parola data viitoare când se conectează.
Comanda completă ar fi „sudo passwd -e [nume utilizator]”. Sudo este necesar deoarece comanda necesita permisiuni root pentru a rula.
