Пароли Linux: как заставить пользователя сбросить пароль

Если вы управляете машиной Linux с несколькими пользователями, вы можете иногда захотеть или попросить пользователя изменить свой пароль. Наиболее вероятная причина этого требования - сценарий использования в первый раз. Другие потенциальные причины для изменения пароля, например, если пользователь забыл его, при этом пароль взломанный или обязательный регулярный цикл паролей, на самом деле не работают с концепцией ручного срок действия пароля.

Когда срок действия пароля Linux истек, пользователь должен изменить его при следующем входе в систему. Если пользователь забыл свой пароль, он никогда не сможет войти в систему, а затем изменить свой пароль. Если пароль пользователя скомпрометирован, его следует немедленно изменить; По истечении его срока существует риск, что хакер сначала войдет в учетную запись, а затем сможет установить для пароля любое значение. Если у вас есть политика, требующая регулярного сброса пароля, то это должно управляться автоматически, устанавливая максимальный срок действия пароля, а не вручную истекая сроком действия паролей.

Примечание. В идеале вам больше не следует регулярно истекать срок действия паролей, NCSC и NIST, а также более широкое сообщество специалистов по кибербезопасности должны изменили свое общественное мнение в связи с исследованиями, которые показали, что это заставляет людей с большей вероятностью выбирать слабые и шаблонные пароли. В настоящее время рекомендуется заставлять пользователей менять пароли только в том случае, если есть разумные основания полагать, что пароль был взломан. Не заставляя пользователей регулярно запоминать новые пароли, они с большей вероятностью создадут и запомнят более длинный, более сложный и надежный пароль.

Когда вы впервые создаете учетную запись для пользователя, обычно она создается с временным паролем. Затем пользователь должен изменить этот пароль на тот, который он запомнит при первом входе в систему.

Как принудительно истечь срок действия пароля

Чтобы пометить пароль как «просроченный» и заставить пользователя изменить свой пароль при следующем входе в систему, вы хотите использовать команду «passwd» вместе с флагом «-e». Флаг «-e» немедленно истекает срок действия пароля учетной записи, что заставит их изменить свой пароль при следующем входе в систему.

Полная команда будет выглядеть так: «sudo passwd -e [имя пользователя]». Sudo требуется, поскольку для запуска команды требуются права root.

Команда «sudo passwd -e [имя пользователя]» немедленно истекает срок действия пароля указанного пользователя, вынуждая его изменить его при следующем входе в систему.
Безопасность паролей невероятно важна, и не только на компьютере с Windows - не забывайте часто менять свои (и других пользователей) пароли, чтобы никто не мог получить несанкционированный доступ к своим учетным записям.