passwd - modifier le mot de passe d'un utilisateur
SYNTAXE
passwd [options] [NOM_UTILISATEUR]
DESCRIPTION
La commande passwd modifie les mots de passe des comptes utilisateur. Un utilisateur normal ne peut modifier que le mot de passe de son propre compte, tandis que l'utilisateur root peut modifier le mot de passe de n'importe quel compte. La commande passwd modifie également la période de validité du compte ou du mot de passe associé.
Modifications du mot de passe
Si le compte a un mot de passe non vide, l'utilisateur est d'abord invité à entrer son mot de passe actuel. Le mot de passe entré est chiffré et comparé à la valeur stockée. L'utilisateur n'a qu'une seule tentative pour entrer le mot de passe correct. L'utilisateur root peut ignorer cette étape pour permettre de modifier les mots de passe oubliés.
Après l'entrée du mot de passe, les informations de vieillissement du mot de passe sont vérifiées pour déterminer si l'utilisateur est autorisé à modifier le mot de passe à ce moment-là. Si ce n'est pas le cas, passwd refuse de modifier le mot de passe et se termine.
L'utilisateur est ensuite invité à entrer deux fois un nouveau mot de passe. La deuxième entrée est comparée à la première et les deux doivent correspondre pour que le mot de passe soit modifié.
Ensuite, le mot de passe est testé pour sa complexité. passwd rejette les mots de passe qui ne répondent pas aux exigences de complexité. N'incluez pas les caractères d'effacement ou d'annulation par défaut du système.
Conseils pour les mots de passe utilisateur
La sécurité d'un mot de passe dépend de la force de l'algorithme de chiffrement et de la taille de l'espace de clés. La méthode de chiffrement UNIX héritée est basée sur l'algorithme NBS DES. Des méthodes plus récentes sont désormais recommandées (voir ENCRYPT_METHOD). La taille de l'espace de clés dépend du caractère aléatoire du mot de passe sélectionné.
Les compromissions de la sécurité des mots de passe résultent généralement d'un choix ou d'une manipulation imprudente des mots de passe. Pour cette raison, vous ne devez pas choisir un mot de passe qui apparaît dans un dictionnaire ou un mot de passe qui doit être écrit. Le mot de passe ne doit pas non plus être un nom de famille, votre numéro de permis de conduire, votre date de naissance ou votre adresse. Tout cela peut être utilisé comme des suppositions pour violer la sécurité du système.
En général, les mots de passe doivent être longs et aléatoires. Il est acceptable d'utiliser des ensembles de caractères simples, tels que des mots de passe composés uniquement de lettres minuscules, si cela facilite la mémorisation de mots de passe plus longs. Pour un mot de passe composé uniquement de lettres minuscules de l'alphabet anglais, choisi de manière aléatoire, et d'une longueur de 32, il existe 26^32 (environ 2^150) combinaisons possibles. Étant une équation exponentielle, il est évident que l'exposant (la longueur) est plus important que la base (la taille de l'ensemble de caractères).
Vous pouvez trouver des conseils sur la façon de choisir un mot de passe fort sur https://en.wikipedia.org/wiki/Password_strength
OPTIONS
Les options qui s'appliquent à la commande passwd sont les suivantes :
-a, --all
Cette option ne peut être utilisée qu'avec -S et permet d'afficher l'état de tous les utilisateurs.
-d, --delete
Supprime le mot de passe d'un utilisateur, le rendant vide. Cette commande définit le compte comme étant sans mot de passe.
-e, --expire
Expire immédiatement le mot de passe d'un compte. Cela peut effectivement forcer un utilisateur à changer son mot de passe lors de sa prochaine connexion.
-h, --help
Affiche le message d'aide et quitte.
-i, --inactive INACTIVE
Cette option est utilisée pour désactiver un compte après l'expiration du mot de passe pendant un certain nombre de jours. Après qu'un compte utilisateur a eu un mot de passe expiré pendant INACTIVE jours, l'utilisateur ne peut plus se connecter au compte.
-k, --keep-tokens
Indique que le changement de mot de passe ne doit être effectué que pour les jetons d'authentification (mots de passe) expirés. L'utilisateur souhaite conserver ses jetons non expirés tels quels.
-l, --lock
Verrouille le mot de passe du compte spécifié. Cette option désactive un mot de passe en le modifiant pour qu'il corresponde à aucune valeur chiffrée possible (elle ajoute un « ! » au début du mot de passe).
Notez que cela ne désactive pas le compte. L'utilisateur peut toujours se connecter en utilisant un autre jeton d'authentification (par exemple, une clé SSH). Pour désactiver le compte, les administrateurs doivent utiliser usermod --expiredate 1 (cela définit la date d'expiration du compte à 1970-01-02).
Les utilisateurs dont le mot de passe est verrouillé ne sont pas autorisés à modifier leur mot de passe.
-n, --mindays MIN_DAYS
Définit le nombre minimum de jours entre les changements de mot de passe à MIN_DAYS. Une valeur de zéro pour ce champ indique que l'utilisateur peut modifier son mot de passe à tout moment.
-q, --quiet
Mode silencieux.
-r, --repository REPOSITORY
modifie le mot de passe dans le référentiel REPOSITORY
-R, --root CHROOT_DIR
Applique les modifications dans le répertoire CHROOT_DIR et utilise les fichiers de configuration du répertoire CHROOT_DIR. Seuls les chemins absolus sont pris en charge.
-P, --prefix PREFIX_DIR
Applique les modifications aux fichiers de configuration situés sous le système de fichiers racine, dans le répertoire PREFIX_DIR. Cette option n'effectue pas de chroot et est destinée à préparer une cible de compilation croisée. Certaines limitations : les utilisateurs/groupes NIS et LDAP ne sont pas vérifiés. Pas de prise en charge de PAM. Pas de prise en charge de SELINUX.
-S, --status
Affiche les informations d'état du compte. Les informations d'état sont constituées de 7 champs. Le premier champ est le nom d'utilisateur. Le deuxième champ indique si le compte utilisateur a un mot de passe verrouillé (L), n'a pas de mot de passe (NP) ou a un mot de passe utilisable (P). Le troisième champ indique la date du dernier changement de mot de passe. Les quatre champs suivants sont l'âge minimum, l'âge maximum, la période d'avertissement et la période d'inactivité du mot de passe. Ces âges sont exprimés en jours.
-u, --unlock
Déverrouille le mot de passe du compte spécifié. Cette option réactive un mot de passe en le remettant à sa valeur précédente (à la valeur avant l'utilisation de l'option -l).
-w, --warndays WARN_DAYS
Définit le nombre de jours d'avertissement avant qu'un changement de mot de passe ne soit requis. L'option WARN_DAYS est le nombre de jours avant l'expiration du mot de passe pendant lesquels l'utilisateur est averti que son mot de passe est sur le point d'expirer.
-x, --maxdays MAX_DAYS
Définit le nombre maximal de jours pendant lesquels un mot de passe reste valide. Après MAX_DAYS, le mot de passe doit être modifié.
Le fait de passer la valeur -1 en tant que MAX_DAYS supprimera la vérification de la validité d’un mot de passe.
-s, --stdin
Cette option est utilisée pour indiquer que passwd doit lire le nouveau mot de passe à partir de l’entrée standard, qui peut être un pipe.
AVERTISSEMENTS
La vérification de la complexité des mots de passe peut varier d’un site à l’autre. Il est conseillé à l’utilisateur de choisir un mot de passe aussi complexe que possible.
Les utilisateurs peuvent ne pas être en mesure de modifier leur mot de passe sur un système si NIS est activé et qu’ils ne sont pas connectés au serveur NIS.
passwd utilise PAM pour authentifier les utilisateurs et pour modifier leurs mots de passe.
FICHIERS
/etc/passwd
Informations sur les comptes utilisateurs.
/etc/shadow
Informations sécurisées sur les comptes utilisateurs.
/etc/pam.d/passwd
Configuration PAM pour passwd.
VALEURS DE SORTIE
La commande passwd renvoie les valeurs de sortie suivantes :
0 succès
1 autorisation refusée
2 combinaison d’options non valide
3 échec inattendu, rien n’a été fait
4 fichier passwd manquant, échec inattendu
5 fichier passwd occupé, réessayez
6 argument invalide pour l’option
10 une erreur a été renvoyée par [pam]({filename}../../pam)(3)
CONSULTER AUSSI
chpasswd(8), makepasswd(1), passwd(5), shadow(5), usermod(8).
La page Web suivante compare de manière humoristique (mais correcte) la force de deux méthodes différentes pour choisir un mot de passe : « https://xkcd.com/936/ ».