Om du hanterar en Linux-maskin med flera användare kan du ibland vilja eller behöva få en användare att ändra sitt lösenord. Den mest troliga orsaken till detta krav är ett förstagångsscenario. Andra potentiella skäl att ändra ett lösenord som att en användare glömmer det, då lösenordet är komprometterad, eller obligatorisk regelbunden lösenordscykling, fungerar inte riktigt med konceptet manuell lösenordet löper ut.
När ett Linux-lösenord har gått ut måste användaren ändra det nästa gång de loggar in. Om en användare har glömt sitt lösenord kommer de aldrig att kunna logga in för att sedan ändra sitt lösenord. Om en användares lösenord äventyras bör det ändras omedelbart; om det löper ut riskerar hackaren att logga in på kontot först och sedan kan ställa in lösenordet till valfritt värde. Om du har en policy att kräva regelbundna lösenordsåterställningar, bör detta hanteras automatiskt genom att ställa in en maximal lösenordsålder istället för att manuellt upphöra att gälla.
Obs: Helst bör du inte regelbundet upphöra att gälla längre, NCSC och NIST samt den större cybersäkerhetsgemenskapen har ändrade sin offentliga vägledning på grund av forskning som visade att om man gör det, blir det mer benäget att välja svaga och formulerade lösenord. Riktningen är nu att endast få användare att byta lösenord när det finns en rimlig misstanke om att lösenordet har äventyrats. Genom att inte tvinga användare att regelbundet komma ihåg nya lösenord, är det mer sannolikt att de skapar och kommer ihåg ett längre, mer komplext, starkt lösenord.
När du först skapar ett konto för en användare skapas det vanligtvis med ett tillfälligt lösenord. Användaren bör sedan ändra detta lösenord till något de kan komma ihåg första gången de loggar in.
Hur man tvingar ett lösenord att förfalla
För att markera ett lösenord som "förfallit" och för att tvinga användaren att ändra sitt lösenord nästa gång de loggar in vill du använda kommandot "passwd" tillsammans med flaggan "-e". "-e"-flaggan förfaller omedelbart ett kontolösenord som kommer att tvinga dem att ändra sitt lösenord nästa gång de loggar in.
Det fullständiga kommandot skulle vara "sudo passwd -e [användarnamn]". Sudo krävs eftersom kommandot krävde rootbehörigheter för att köras.
