Si está administrando una máquina Linux con varios usuarios, a veces puede querer o necesitar pedirle a un usuario que cambie su contraseña. La causa más probable de este requisito es un escenario de uso por primera vez. Otras posibles razones para cambiar una contraseña, como un usuario olvidado, una contraseña comprometida o un ciclo de contraseña regular obligatorio, realmente no funcionan con el concepto de caducidad manual de la contraseña.
Cuando caduca una contraseña de Linux, el usuario debe cambiarla la próxima vez que inicie sesión. Si un usuario ha olvidado su contraseña, nunca podrá iniciar sesión para cambiar su contraseña. Si la contraseña de un usuario se ve comprometida, debe cambiarse inmediatamente; caduca, corre el riesgo de que el pirata informático primero inicie sesión en la cuenta y luego pueda establecer la contraseña en cualquier valor. Si su política requiere el restablecimiento regular de la contraseña, esto debe manejarse automáticamente estableciendo una antigüedad máxima de la contraseña en lugar de caducarlas manualmente.
Nota: Idealmente, las contraseñas ya no deben expirar con regularidad, el NCSC y NIST, así como la comunidad de ciberseguridad en general, han cambiado sus pautas públicas debido a investigaciones que han demostrado que esto hace que las personas sean más propensas a elegir contraseñas débiles y estereotipadas. El consejo ahora es cambiar las contraseñas de los usuarios solo cuando exista una sospecha razonable de que la contraseña se ha visto comprometida. Al no obligar a los usuarios a recordar nuevas contraseñas con regularidad, es más probable que creen y recuerden una contraseña más larga, compleja y segura.
Cuando crea una cuenta para un usuario por primera vez, generalmente se crea con una contraseña temporal. Luego, el usuario debe cambiar esa contraseña a algo que pueda recordar la primera vez que inicie sesión.
Cómo forzar la expiración de una contraseña
Para marcar una contraseña como «caducada» y obligar al usuario a cambiar su contraseña la próxima vez que inicie sesión, debe utilizar el comando «passwd» con la bandera «-e». La bandera «-e» expira inmediatamente la contraseña de una cuenta que los obligará a cambiar su contraseña la próxima vez que inicien sesión.
El comando completo sería «sudo passwd -e [username]». Se requiere sudo porque el comando requiere permisos de root para ejecutarse.
El comando «sudo passwd -e [username]»La contraseña del usuario especificado caduca inmediatamente, lo que le obliga a cambiarla la próxima vez que inicie sesión. La seguridad de las contraseñas es extremadamente importante, y no solo en una máquina con Windows; asegúrese de cambiar sus contraseñas (y las de otros usuarios) con frecuencia, para que nadie pueda obtener acceso no autorizado a sus cuentas.