passwd - cambiar la contraseña de un usuario
SINOPSIS
passwd [opciones] [USUARIO]
DESCRIPCIÓN
El comando passwd cambia las contraseñas de las cuentas de usuario. Un usuario normal solo puede cambiar la contraseña de su propia cuenta, mientras que el superusuario puede cambiar la contraseña de cualquier cuenta. El comando passwd también cambia el período de validez de la cuenta o de la contraseña asociada.
Cambios de contraseña
Si la cuenta tiene una contraseña que no está vacía, primero se le pedirá al usuario que ingrese su contraseña actual. La contraseña ingresada se cifra y se compara con el valor almacenado. El usuario solo tiene un intento para ingresar la contraseña correcta. El superusuario puede omitir este paso para permitir cambiar las contraseñas olvidadas.
Después de ingresar la contraseña, se verifica la información sobre el envejecimiento de la contraseña para determinar si el usuario puede cambiar la contraseña en este momento. Si no es así, passwd se niega a cambiar la contraseña y sale.
Luego, se le pide al usuario que ingrese la nueva contraseña dos veces. La segunda entrada se compara con la primera y ambas deben coincidir para que se cambie la contraseña.
Luego, se prueba la contraseña para verificar su complejidad. passwd rechaza las contraseñas que no cumplen con los requisitos de complejidad. No incluya los caracteres de borrado o finalización predeterminados del sistema.
Consejos para las contraseñas de usuario
La seguridad de una contraseña depende de la solidez del algoritmo de cifrado y del tamaño del espacio de claves. El método de cifrado UNIX heredado se basa en el algoritmo NBS DES. Ahora se recomiendan métodos más recientes (vea ENCRYPT_METHOD). El tamaño del espacio de claves depende de la aleatoriedad de la contraseña seleccionada.
Los problemas de seguridad de las contraseñas normalmente se deben a una selección o manejo descuidado de las contraseñas. Por este motivo, no debe seleccionar una contraseña que aparezca en un diccionario o una que deba escribirse. La contraseña tampoco debe ser un nombre propio, su número de licencia, fecha de nacimiento o dirección. Cualquiera de estos puede usarse como una suposición para violar la seguridad del sistema.
Como guía general, las contraseñas deben ser largas y aleatorias. Está bien usar conjuntos de caracteres simples, como contraseñas que consisten solo en letras minúsculas, si eso ayuda a memorizar contraseñas más largas. Para una contraseña que consiste solo en letras inglesas minúsculas elegidas al azar, y una longitud de 32, hay 26^32 (aproximadamente 2^150) combinaciones posibles diferentes. Al ser una ecuación exponencial, es evidente que el exponente (la longitud) es más importante que la base (el tamaño del conjunto de caracteres).
Puede encontrar consejos sobre cómo elegir una contraseña segura en https://en.wikipedia.org/wiki/Password_strength
OPCIONES
Las opciones que se aplican al comando passwd son:
-a, --all
Esta opción solo se puede usar con -S y hace que se muestre el estado de todos los usuarios.
-d, --delete
Elimina la contraseña de un usuario, dejándola vacía. Este comando establece que la cuenta no tenga contraseña.
-e, --expire
Caduca inmediatamente la contraseña de una cuenta. Esto, en efecto, puede obligar a un usuario a cambiar su contraseña en el próximo inicio de sesión del usuario.
-h, --help
Muestra el mensaje de ayuda y sale.
-i, --inactive INACTIVE
Esta opción se utiliza para deshabilitar una cuenta después de que la contraseña haya caducado durante un número de días. Después de que la cuenta de un usuario haya tenido una contraseña caducada durante INACTIVE días, el usuario ya no puede iniciar sesión en la cuenta.
-k, --keep-tokens
Indica que el cambio de contraseña solo debe realizarse para los tokens de autenticación caducados (contraseñas). El usuario desea mantener sus tokens no caducados como antes.
-l, --lock
Bloquea la contraseña de la cuenta especificada. Esta opción deshabilita una contraseña cambiando su valor a un valor que no coincida con ningún valor cifrado posible (agrega un ´!´ al principio de la contraseña).
Tenga en cuenta que esto no deshabilita la cuenta. El usuario aún puede iniciar sesión utilizando otro token de autenticación (por ejemplo, una clave SSH). Para deshabilitar la cuenta, los administradores deben usar usermod --expiredate 1 (esto establece la fecha de caducidad de la cuenta en 1970-01-02).
Los usuarios con una contraseña bloqueada no pueden cambiar su contraseña.
-n, --mindays MIN_DAYS
Establece el número mínimo de días entre los cambios de contraseña a MIN_DAYS. Un valor de cero para este campo indica que el usuario puede cambiar su contraseña en cualquier momento.
-q, --quiet
Modo silencioso.
-r, --repository REPOSITORY
cambia la contraseña en el repositorio REPOSITORY
-R, --root CHROOT_DIR
Aplica los cambios en el directorio CHROOT_DIR y utiliza los archivos de configuración del directorio CHROOT_DIR . Solo se admiten rutas absolutas.
-P, --prefix PREFIX_DIR
Aplica los cambios a los archivos de configuración debajo del sistema de archivos raíz que se encuentran debajo del directorio PREFIX_DIR. Esta opción no realiza chroot y está destinada a preparar un destino de compilación cruzada. Algunas limitaciones: los usuarios/grupos NIS y LDAP no se verifican. Sin soporte PAM. Sin soporte SELINUX.
-S, --status
Muestra la información de estado de la cuenta. La información de estado consta de 7 campos. El primer campo es el nombre de inicio de sesión del usuario. El segundo campo indica si la cuenta de usuario tiene una contraseña bloqueada (L), no tiene contraseña (NP) o tiene una contraseña utilizable (P). El tercer campo indica la fecha del último cambio de contraseña. Los siguientes cuatro campos son la antigüedad mínima, la antigüedad máxima, el período de advertencia y el período de inactividad de la contraseña. Estas edades se expresan en días.
-u, --unlock
Desbloquea la contraseña de la cuenta especificada. Esta opción vuelve a habilitar una contraseña cambiando la contraseña a su valor anterior (al valor anterior al uso de la opción -l).
-w, --warndays WARN_DAYS
Establece el número de días de advertencia antes de que se requiera un cambio de contraseña. La opción WARN_DAYS es el número de días antes de la caducidad de la contraseña, durante los cuales se le advierte al usuario que su contraseña está a punto de caducar.
-x, --maxdays MAX_DAYS
Establece el número máximo de días que una contraseña permanece válida. Después de MAX_DAYS, se requiere que se cambie la contraseña.
Pasar el número -1 como MAX_DAYS eliminará la verificación de la validez de una contraseña.
-s, --stdin
Esta opción se utiliza para indicar que passwd debe leer la nueva contraseña desde la entrada estándar, que puede ser una canalización.
PRECAUCIONES
La verificación de la complejidad de la contraseña puede variar de un sitio a otro. Se insta al usuario a que seleccione una contraseña tan compleja como se sienta cómodo.
Es posible que los usuarios no puedan cambiar su contraseña en un sistema si NIS está habilitado y no han iniciado sesión en el servidor NIS.
passwd utiliza PAM para autenticar a los usuarios y para cambiar sus contraseñas.
ARCHIVOS
/etc/passwd
Información de la cuenta de usuario.
/etc/shadow
Información segura de la cuenta de usuario.
/etc/pam.d/passwd
Configuración PAM para passwd.
VALORES DE SALIDA
El comando passwd sale con los siguientes valores:
0 éxito
1 permiso denegado
2 combinación de opciones no válida
3 falla inesperada, no se hizo nada
4 fallo inesperado, falta el archivo passwd
5 el archivo passwd está ocupado, inténtelo de nuevo
6 argumento no válido para la opción
10se devolvió un error por [pam]({filename}../../pam)(3)
VER TAMBIÉN
chpasswd(8), makepasswd(1), passwd(5), shadow(5), usermod(8).
La siguiente página web compara cómicamente (pero correctamente) la solidez de dos métodos diferentes para elegir una contraseña: "https://en.wikipedia.org/wiki/Password_strength"