PASSWD(1) PASSWD(1)
passwd - cambia la password utente
passwd [-f|-s] [nome]
passwd [-g] [-r|-R] gruppo
passwd [-x max] [-n min] [-w warn] [-i inact] login
passwd {-l|-u|-d|-S|-e} login
passwd cambia la password per account utente o di gruppo. Un utente
normale pu solo cambiare la password per il proprio account, mentre il
super utente pu cambiarla per qualsiasi account. L'amministratore di
un gruppo pu cambiare la password del gruppo. passwd pu cambiare altri
dati dell'utente come il nome completo, la shell di login, la data e
l'intervallo di scadenza della password.
L'opzione -s fa s che passwd chiami chsh per cambiare la shell utente.
L'opzione -f fa s che passwd chiami chfn per cambiare le informazioni
GECOS dell'utente. Queste due opzioni sono presenti solo per compati-
bilit perch gli altri programmi possono essere chiamati direttamente.
Modifiche delle password
All'utente viene prima chiesta la propria password attuale, se pre-
sente. Questa password viene cifrata e confrontata con quella memoriz-
zata. All'utente viene data solo una possibilit di inserire la pass-
word corretta. Il super utente non ha questo obbligo.
Dopo che la password stata inserita, vengono controllati i parametri
dell'invecchiamento delle password per verificare che l'utente possa
modificarla in questo momento. Se il risultato negativo, passwd non
fa cambiare la password ed esce.
All'utente viene poi chiesta la nuova password. Viene misurata la com-
plessit della password. In linea di massima le password dovrebbero
contenere dai 6 agli 8 caratteri di uno o pi dei seguenti insiemi:
Lettere minuscole
Lettere maiuscole
Numeri da 0 a 9
Segni di punteggiatura
Si deve fare attenzione a non inserire il carattere di cancellazione o
di kill (azzeramento della linea). passwd non accetta password non
sufficientemente complesse.
Se la password viene accettata, passwd la chiede una seconda volta e
confronta le due password. Le due password devono essere eguali
affinch la password venga accettata.
Password di gruppo
Quando viene speficata l'opzione -g, viene cambiata la password per il
gruppo specificato. L'utente deve essere il super utente oppure
l'amministratore del gruppo. La password corrente non viene richiesta.
L'opzione -r, assieme alla -g elimina la password attuale dal gruppo.
Questo permette l'accesso al gruppo a tutti i membri.
Informazioni sulla scadenza della password
Le informazioni sull'invecchiamanto delle password possono essere mod-
ificate dal super utente con le opzioni -x, -n, -w e -i. L'opzione -x
usata per impostare il massimo numero di giorni per il quale la pass-
word valida. Dopo il numero max di giorni viene richiesta la modifica
della password. L'opzione -n usata per impostare il minimo numero di
giorni prima che una password possa essere modificata. L'utente non
potr modificare la password prima che siano passati min giorni.
L'opzione -w usata per impostare il numero di giorni durante i quali
l'utente verr avvisato che la propria password in scadenza. L'avviso
parte warn giorni prima della scadenza e riporta il numero di giorni
che ancora gli rimangono. L'opzione -i usata per disabilitare un
account dopo che non stato pi usato per un certo numero di giorni.
Dopo che un account non stato usato per inact giorni successivi alla
scadenza, l'utente non pu pi accedere al sistema.
Se si vuole fare scadere subito una password, si pu utilizzare
l'opzione -e. Questo in pratica obbliga l'utente a inserire una nuova
password al successivo login. Si pu anche utilizzare l'opzione -d per
azzerare una password. Usare questa opzione con attenzione perch
potrebbe permettere l'accesso al sistema senza l'utilizzo di una pass-
word, lasciando quindi spazio di azione a intrusi.
Gestione dell'account
Gli account utente possono essere bloccati e sbloccati con i flag -l e
-u. L'opzione -l disabilita l'account impostando la password ad un
valore che non corrisponde a nessuna possibile password cifrata.
L'opzione -u abilita un account impostando la password al suo valore
precedente.
Lo stato attuale di un account pu essere ispeziona con l'opzione -S. Lo
stato consiste di 7 campi. Il primo campo il nome dell'utente. Il
secondo campo indica se l'account bloccato (L), non ha password (NP) o
ha una password valida (P). Il terzo campo contiene la data di ultima
modifica della password. I successivi quattro campi sono l'et minima,
la massima, il periodi di avviso e quello di iniattivit. Queste et
sono espresse in giorni. Vedere la precedente discussione su Infor-
mazioni sulla scadenza della password per una discussione su questi
campi.
Suggerimenti per password utente
La sicurezza di una password dipende dalla resistenza dell'algoritmo e
dalla dimensione della chiave utilizzata. Il metodi di cifratura del
sistema UNIX si basa sull'algoritmo NBS DES ed abbastanza sicuro. La
dimensione della chiave dipende dall aleatorit della password che viene
utilizzata.
La compromissione di una password avviene normalmente a seguito di
incuria nella scelta o nella gestione della password. Per questo
motivo non si devono utilizzare password che appaiono nei dizionari o
che devono essere scritte. La password non deve essere uno nome pro-
prio, il numero della patente, la data di nascita o l'indirizzo. Uno
qualunque di questi potrebbe essere indovinato per violare la sicurezza
del sistema.
La password deve essere facile da ricordare in modo tale da non essere
costretti a scriversela. Un modo per farlo quello di concatenare due
parole brevi separandole con della punteggiatura o un numero. Per
esempio Pass%word.
Un altro metodo di costruzione di implica la selezione di una frase
imparata a memoria perch presente in letteratura, selezionandone le
prime o ultime lettere di ogni parola. Un esempio di questo tipo
Non chiedere per chi suona la campana.
che produce
NcXcslc.
Si pu essere abbastanza certi che pochi malintenzionati l'abbiano
inclusa nel proprio dizionario. Si dovrebbe, comunque, selezionare un
proprio metodo per contruire password e non affidarsi esclusivamente a
quelli proposti qui.
Note sulle password di gruppo
Le password di gruppo non un problema di sicurezza perch pi di una per-
sona deve conoscerle. Ciononostante i gruppi sono uno strumento molto
utile per la cooperazione tra vari utenti.
Non tutte le opzioni potrebbero essere supportate. Il controllo della
complessit delle password varia da sistema a sistema. L'utente deve
poter selezionare la possibilit di selezionare una password che ritenga
sufficientemente complessa. Gli utenti potrebbero non essere in con-
dizione di modificare la propria password se NIS abilitato e loro non
hanno fatto il login sul server NIS.
/etc/passwd
informazioni sugli account utente
/etc/shadow
password utenti cifrate
group(5), passwd(5), shadow(5)
Julianne Frances Haugh <jockgrrl [AT] ix.com>
Giovanni Bortolozzo <borto [AT] dei.it>, 1996-1997
Roberto Pertile <triplej [AT] iol.it>, 1999
Isabella Ruocco <isacher [AT] nettaxi.com>, 1999
Giuseppe Sacco <eppesuig [AT] debian.org>, 2005
PASSWD(1)