NOM
passwd - Modifier le mot de passe d'un utilisateur
SYNOPSIS
passwd [options] [LOGIN]
La commande passwd modifie les mots de passe des comptes des
utilisateurs. Un utilisateur normal peut uniquement modifier le mot de
passe de son compte (le plus souvent), quand le Super-utilisateur a le
pouvoir de changer tous les mots de passe des comptes. passwd permet
aussi d'associer une période de validité aux comptes et mots de passe,
et de les modifier.
Modifications du mot de passe
Le mot de passe (s'il existe) est d'abord demandé à l'utilisateur. Il
est ensuite crypté et comparé à celui qui est stocké. Un seul essai
est offert à l'utilisateur. Le Super-utilisateur peut ignorer cette
étape, ceci afin que les mots de passe oubliés puissent être changés.
Une fois le mot de passe entré, les informations concernant la période
de validité du mot de passe sont vérifiées afin de s'assurer que
l'utilisateur est autorisé à modifier son mot de passe à cet instant.
Dans le cas contraire, passwd refuse de changer le mot de passe.
Le nouveau mot de passe souhaité est demandé deux fois à l'utilisateur.
Le second mot de passe est comparé avec le premier. Ces deux mots de
passe devront être identiques afin que le mot de passe soit changé.
La complexité de ce mot de passe est alors testée. Comme ligne de
conduite générale, un mot de passe devrait toujours être constitué de 6
à 8 caractères, dont un ou plus sont choisis parmi les ensembles
suivants :
· caractères alphabétiques minuscules
· chiffres de 0 à 9
· marques de ponctuation
Il faudra faire attention à ne pas utiliser les caractères de
suppression ou d'effacement de ligne. passwd rejettera tout mot de
passe dont la complexité ne sera pas suffisante.
Astuces pour les mots de passe
La sécurité d'un mot de passe repose sur la force de l'algorithme de
chiffrement et sur la taille de l'espace de clés utilisé. La méthode de
chiffrement des systèmes UNIX est basée sur l'algorithme NBS DES. Des
méthodes plus récentes sont aujourd'hui recommandées (se référer par
exemple à la variable ENCRYPT_METHOD du fichier /etc/login.defs). La
taille de l'espace de clés dépend de l'aléa du mot de passe utilisé.
Les compromissions de la sécurité des mots de passe résultent le plus
souvent d'une négligence dans le choix du mot de passe, ou lors de son
utilisation. Pour cette raison, vous ne devez pas sélectionner de mot
de passe apparaissant dans un dictionnaire ou devant être écrit. Le mot
de passe ne doit pas être non plus un nom propre, un numéro de plaque
minéralogique, une date de naissance, ou une adresse. En effet, ceux-ci
pourraient être essayés lors d'une tentative de compromission de la
sécurité du système.
Informations & conseils concernant le choix d'un mot de passe robuste :
http://en.wikipedia.org/wiki/Password_strength
http://fr.wikipedia.org/wiki/Robustesse_des_mots_de_passe
OPTIONS
Les options disponibles pour la commande passwd sont :
-a, --all
Cette option ne peut être utilisée que conjointement avec l'option
-S et permet d'afficher l'état des mots de passe pour tous les
utilisateurs.
-d, --delete
Supprime le mot de passe (le rend vide) d'un utilisateur. C'est une
façon rapide de supprimer l'authentification par mot de passe pour
un compte. Le compte concerné ne possède plus de mot de passe.
-e, --expire
Annule immédiatement la validité du mot de passe d'un compte. Ceci
force un utilisateur à changer son mot de passe lors de sa
prochaine connexion.
-h, --help
Afficher un message d'aide et quitter.
-i, --inactive DUREE_INACTIVITE
Cette option permet de désactiver un compte un certain nombre de
jours après que son mot de passe soit arrivé en fin de validité.
Après qu'un mot de passe soit arrivé en fin de validité depuis plus
de DUREE_INACTIVITE jours,l'utilisateur ne pourra plus se connecter
avec ce compte.
-k, --keep-tokens
Cette option est utilisée afin d'indiquer que la mise à jour ne
devrait être effectuée que pour les marques d'authentification
(mots de passe) ; l'utilisateur conserve ses marques non expirées.
-l, --lock
Verrouille le compte spécifié. Cette option désactive complètement
le mot de passe en le préfixant d'un ´!´ (aucune valeur cryptée
selon le mécanisme utilisé par passwd ne peut donc y correspondre).
Le compte n'est cependant pas désactivé : l'utilisateur peut se
connecter si une autre méthode pour s'identifier est prévue (une
clé SSH, par exemple). Pour désactiver le compte, un administrateur
pourra utiliser usermod --expiredate 1 (le compte a expiré le 2
janvier 1970...)
Un utilisateur avec un mot de passe verrouillé n'est pas autorisé à
changer son mot de passe.
-n, --mindays MIN_JOURS
Définit le nombre minimum de jours entre chaque changement de mot
de passe à MIN_JOURS. Une valeur égale à zéro dans ce champ indique
que l'utilisateur peut changer son mot de passe lorsqu'il le
souhaite.
-q, --quiet
Mode silencieux.
-r, --repository DEPOT
Change le mot de passe dans son DEPOT (répertoire, NIS, LDAP, ...)
-S, --status
Afficher l'état d'un compte. Cet état est constitué de 7 champs. Le
premier champ est le nom du compte (login). Le second champ indique
si le mot de passe est bloqué (L), n'a pas de mot de passe (NP) ou
a un mot de passe utilisable (P). Le troisième champ donne la date
de dernière modification du mot de passe.Les quatre champs suivants
sont : la durée minimum avant modification, la durée maximum de
validité, la durée d'avertissement, et la durée d'inactivité
autorisée pour le mot de passe. Les durées sont exprimées en jours.
-u, --unlock
Déverrouille le mot de passe du compte indiqué. Cette option
réactive le mot de passe en le positionnant à la valeur qui
existait avant l'utilisation de l'option -l.
-w, --warndays DUREE_AVERTISSEMENT
Fixe le nombre de jours avant que le changement de mot de passe ne
soit obligatoire. DUREE_AVERTISSEMENT est le nombre de jours
précédant la fin de validité du mot de passe, et durant lesquels
l'utilisateur sera averti que son mot de passe est sur le point
d'arriver en fin de validité.
-x, --maxdays MAX_JOURS
Fixe le nombre maximum de jours pendant lesquels un mot de passe
reste valable. Après MAX_JOURS, le mot de passe devra être
obligatoirement modifié.
AVERTISSEMENTS
La vérification de la complexité des mots de passe peut varier d'un
site à l'autre. Il est vivement conseillé aux utilisateurs de choisir
un mot de passe aussi complexe que possible dans la limite de ce qu'ils
sont capables de mémoriser et utiliser avec un certain comfort.
Il se peut que les utilisateurs ne puissent pas changer leur mot de
passe sur un système si NIS est activé et qu'ils ne sont pas connectés
au serveur NIS.
passwd utilise PAM (Pluggable Authentication Modules) pour identifier
les utilisateurs et changer leurs mots de passe.
FICHIERS
/etc/passwd
Informations sur les comptes des utilisateurs.
/etc/shadow
Informations sécurisées sur les comptes utilisateurs.
/etc/pam.d/passwd
Configuration PAM (Pluggable Authentication Modules) pour passwd.
VALEURS DE RETOUR
La commande passwd retourne les valeurs suivantes en quittant :
0
succès
1
permission refusée
2
combinaison d'options non valable
3
échec inattendu, rien n'a été fait
4
échec inattendu, le fichier passwd est manquant
5
fichier passwd en cours d'utilisation, veuillez réessayer plus tard
6
paramètre non valable pour l'option
VOIR AUSSI
passwd(5), shadow(5), usermod(8).