PASSWD(1) Commandes utilisateur PASSWD(1)
passwd - Modifier le mot de passe d'un utilisateur
passwd [options] [LOGIN]
Passwd modifie les mots de passe des comptes d'utilisateurs. Un
utilisateur normal ne peut changer que son propre mot de passe, le
superutilisateur peut changer le mot de passe associ n'importe quel
compte. Passwd modifie galement les informations associes au compte,
telles que le nom complet de l'utilisateur, son interprteur de
commandes de connexion (<< login shell >>), la date de fin de validit
du mot de passe, ou sa dure de validit.
Modifications du mot de passe
Dans un premier temps, l'utilisateur doit fournir son ancien mot de
passe, s'il en avait un. Ce mot de passe est ensuite chiffr puis compar
avec le mot de passe enregistr. L'utilisateur n'a droit qu' un seul
essai pour entrer le mot de passe correct. Le superutilisateur peut
contourner cette premire tape de manire changer les mots de passe
ayant t oublis.
Une fois que le mot de passe a t entr, les informations de limite de
validit du mot de passe sont vrifies pour s'assurer que l'utilisateur
est autoris modifier son mot de passe cet instant. Dans le cas
contraire, passwd refuse de changer le mot de passe, et quitte.
Le nouveau mot de passe sera demand deux fois l'utilisateur. Le second
mot de passe est compar avec le premier. Ces deux mots de passe devront
tre identiques pour que le mot de passe soit chang.
La complexit de ce mot de passe est alors teste. Comme ligne de
conduite gnrale, un mot de passe doit toujours tre constitu de 6 8
caractres en en choisissant un ou plus parmi chacun des ensembles
suivants :
+o caractres alphabtiques minuscules
+o chiffres de 0 9
+o marques de ponctuation
Il faudra faire attention ne pas utiliser les caractres de suppression ou
d'effacement. Passwd rejettera tout mot de passe dont la complexit ne sera
pas suffisante.
Astuces pour les mots de passe
La scurit d'un mot de passe repose sur la force de l'algorithme de
chiffrement et sur la taille de l'espace de cls utilis. La mthode de
chiffrement des systmes UNIX est base sur l'algorithme NBS DES, elle
est trs sre. La taille de l'espace de cls dpend de l'ala du mot de
passe utilis.
Les compromissions de la scurit des mots de passe rsultent le plus
souvent d'une ngligence dans le choix du mot de passe, ou lors de son
utilisation. Pour cette raison, vous ne devez pas slectionner de mot de
passe apparaissant dans un dictionnaire ou devant tre crit. Le mot de
passe ne doit pas non plus tre un nom propre, un numro minralogique,
une date de naissance, ou une adresse. En effet ceux-ci pourraient tre
devins pour violer la scurit du systme.
Vous devez pouvoir vous souvenir facilement de votre mot de passe, afin
de ne pas avoir le noter sur un morceau de papier. Pour ce faire, on
peut choisir d'accoler deux mots en les sparant avec un caractre spcial
ou un chiffre. Par exemple, Mot2passe.
D'autres mthodes de construction utilisent une phrase facile se
rappeler, et consistent slectionner la premire ou la dernire lettre de
chaque mot. Voici un exemple [ NdT : en anglais ] :
+o Ask not for whom the bell tolls.
+o Ce qui donne :
+o An4wtbt.
Vous pouvez raisonnablement tre assur que quelques crackers ont dsormais
inclus ces mots de passe dans leurs dictionnaires. Vous pouvez galement
utiliser votre propre mthode de construction de mots de passe et ne pas
compter exclusivement sur les mthodes proposes ici.
Les options disponibles pour la commande passwd sont :
-a, --all
Cette option ne peut tre utilise qu'avec -S et permet d'afficher
l'tat des mots de passe pour tous les utilisateurs.
-d, --delete
Supprime le mot de passe (le rend vide) d'un utilisateur. C'est une
faon rapide de supprimer l'authentification par mot de passe pour un
compte. Il rend compte indiqu sans mot de passe.
-e, --expire
Annule immdiatement la validit du mot de passe d'un compte. Ceci
permet d'obliger un utilisateur changer son mot de passe lors de sa
prochaine connexion.
-h, --help
Afficher un message d'aide et quitter.
-i, --inactive DURE_INACTIVIT
Cette option permet de dsactiver un compte un certain nombre de
jours aprs que son mot de passe soit arriv en fin de validit. Aprs
qu'un mot de passe soit arriv en fin de validit depuis plus de
DURE_INACTIVIT jours, l'utilisateur ne pourra plus se connecter avec
ce compte.
-k, --keep-tokens
Indique que seuls les mots de passe arrivs en fin de validit doivent
tre modifi. C'est utile quand l'utilisateur ne veut pas modifier un
mot de passe qui serait toujours valable.
-l, --lock
Verrouille le compte indiqu. Cette option dsactive un compte en
modifiant son mot de passe pour une valeur qui ne peut pas
correspondre un mot de passe chiffr possible.
-m, --mindays JOURS_MIN
Dfinit le nombre minimum de jours entre chaque changement de mot de
passe MIN_DAYS. Une valeur de zro pour ce champ indique que
l'utilisateur peut changer son mot de passe quand il le souhaite.
-q, --quiet
Mode silencieux.
-r, --repository REPOSITORY
Change le mot de passe de la base REPOSITORY
-S, --status
Afficher l'tat d'un compte. Cet tat est constitu de 7 champs. Le
premier champ est le nom du compte. Le second champ indique si le
compte est bloqu (L), n'a pas de mot de passe (NP) ou a un mot de
passe utilisable (P). Le troisime champ donne la date de dernire
modification du mot de passe. Les quatre champs suivants sont : la
dure minimum avant modification, la dure maximum de validit, la dure
d'avertissement, et la dure d'inactivit autorise pour le mot de
passe. Les dures sont exprimes en jours.
-u, --unlock
Dverrouille le compte indiqu. Cette option ractive un compte en
changeant un mot de passe sa valeur prcdente (la valeur prsente
avant l'utilisation de l'option -l).
-w, --warndays DURE_AVERTISSEMENT
Fixe le nombre de jours d'avertissement avant que le changement de
mot de passe ne soit obligatoire. La valeur DURE_AVERTISSEMENT est
le nombre de jours prcdant la fin de validit pendant lesquels un
utilisateur sera prvenu que son mot de passe est sur le point
d'arriver en fin de validit.
-x, --maxdays JOURS_MAX
Fixe le nombre maximum de jours pendant lesquels un mot de passe
reste valable. Aprs JOURS_MAX, le mot de passe devra tre modifi.
Toutes les options ne sont pas forcment gres. La vrification de la
complexit des mots de passe peut varier d'un site l'autre. Il est
vivement conseill aux utilisateurs de choisir un mot de passe aussi
complexe que possible dans la limite de ce qu'il est capable de
mmoriser. Il se peut que les utilisateurs ne puisse pas changer leur
mot de passe sur un systme si NIS est activ et qu'ils ne sont pas
connects au serveur NIS.
/etc/passwd
Informations sur les comptes des utilisateurs.
/etc/shadow
Informations scurises sur les comptes utilisateurs.
La commande passwd retourne les valeurs suivantes en quittant :
0 succs
1 permission refuse
2 combinaison d'options non valable
3 chec inattendu, rien n'a t fait
4 chec inattendu, le fichier passwd est manquant
5 fichier passwdw/filename> en cours d'utilisation, veuillez ressayer
plus tard 6 param
group(5), passwd(5), shadow(5).
Commandes utilisateur 30/07/2006 PASSWD(1)