Password Linux: come costringere un utente a reimpostare la password

Se gestisci una macchina Linux con più utenti, potresti occasionalmente volere o dover chiedere a un utente di cambiare la password. La causa più probabile di questo requisito è per uno scenario di primo utilizzo. Altri potenziali motivi per modificare una password, come un utente che la dimentica, la compromissione della password o il regolare ciclo obbligatorio della password, non funzionano davvero con il concetto di scadenza manuale della password.

Quando una password Linux è scaduta, l'utente è tenuto a cambiarla la prossima volta che accede. Se un utente ha dimenticato la password, non sarà mai in grado di accedere per poi cambiare la password. Se la password di un utente è compromessa, dovrebbe essere cambiata immediatamente; alla scadenza corre il rischio che l'hacker acceda prima all'account e possa quindi impostare la password su qualsiasi valore. Se disponi di una politica che richiede la reimpostazione regolare della password, questa dovrebbe essere gestita automaticamente impostando un'età massima della password anziché le password con scadenza manuale.

Nota: idealmente non dovresti più far scadere regolarmente le password, l'NCSC e il NIST, così come la più ampia comunità di sicurezza informatica, hanno cambiato la loro guida pubblica a causa di ricerche che hanno dimostrato che così facendo le persone sono più propense a scegliere password deboli e formule. La guida è ora quella di fare in modo che gli utenti cambino le password solo quando c'è un ragionevole sospetto che la password sia stata compromessa. Non costringendo gli utenti a ricordare regolarmente nuove password, è più probabile che creino e ricordino una password più lunga, più complessa e sicura.

Quando crei per la prima volta un account per un utente, in genere viene creato con una password temporanea. L'utente deve quindi modificare questa password in qualcosa che può ricordare la prima volta che accede.

Come forzare la scadenza di una password

Per contrassegnare una password come "scaduta" e per obbligare l'utente a cambiare la password al prossimo accesso, si desidera utilizzare il comando "passwd" insieme al flag "-e". Il flag "-e" fa scadere immediatamente la password di un account che li costringerà a cambiare la password al successivo accesso.

Il comando completo sarebbe "sudo passwd -e [nome utente]". Sudo è richiesto poiché il comando richiede i permessi di root per essere eseguito.

Il comando "sudo passwd -e [nome utente]" fa scadere immediatamente la password dell'utente specificato, costringendolo a cambiarla al successivo accesso.

La sicurezza della password è incredibilmente importante, e non solo su una macchina Windows: assicurati di cambiare spesso la tua (e quella degli altri utenti) password, in modo che nessuno possa ottenere l'accesso non autorizzato ai propri account.