60年来，密码一直是帐户安全的基石，比Unix早了近10年。了解如何在Linux中使用命令行或GNOME桌面环境来管理密码。

如何选择强密码

计算机密码是出于需要而产生的。随着多用户分时计算机系统的出现，分离和保护人们数据的重要性变得明显，密码解决了这个问题。

密码仍然是最常见的帐户身份验证形式。双因素和多因素身份验证增强了密码保护，生物特征身份验证提供了另一种身份验证方法。然而，好的旧密码仍然与我们同在，并将在未来很长一段时间。这意味着您需要知道如何最好地创建和使用它们。一些旧的做法不再有效。

以下是一些基本的密码规则：

• 根本不用密码：改用密码短语。用标点符号、符号或数字连接起来的三个或四个不相关的单词比用一串gobbledygook或元音换成数字的密码更难破解。
• 不要重复使用密码：不要在相同或不同的系统上重复使用密码。
• 不要共享你的密码：密码是私有的。不要和别人分享。
• 不要将密码建立在个人重要信息的基础上：不要使用家庭成员的名字、运动队、最喜欢的乐队，或者其他任何可能被社会工程或从你的社交媒体推断出来的信息。
• 不要使用模式密码：不要将密码建立在密钥的模式或位置上，例如qwerty、1q2w3e等等。

密码过期策略不再是最佳实践。如果你采用了强大、安全的密码短语，你只需要在怀疑它们被泄露的情况下更改它们。经常更改密码会无意中导致糟糕的密码选择，因为许多人使用基本密码，只是在密码末尾添加日期或数字。

美国国家标准与技术研究所（nationalstituteofstandardsandtechnology）就密码、用户识别和认证等问题撰写了大量著作。他们的意见在特别出版物800-63-3：数字认证指南中公开。

passwd文件

过去，类Unix操作系统在“/etc/passwd”文件中存储密码以及有关每个帐户的其他信息。今天，“/etc/passwd”文件仍然保存帐户信息，但加密的密码保存在“/etc/shadow”文件中，该文件的访问受到限制。相比之下，任何人都可以查看“/etc/passwd”文件。

要查看“/etc/passwd”文件内部，请键入以下命令：

将显示文件的内容。让我们看看这个名为“玛丽”的帐户的详细信息

每行代表一个帐户（或一个有“用户”帐户的程序）。有以下七个冒号分隔的字段：

• 用户名：帐户的登录名。
• 密码：“x”表示密码存储在/etc/shadow文件中。
• 用户ID:此帐户的用户标识符。
• 组ID:此帐户的组标识符。
• GECOS：这代表通用电气综合运营主管。今天，GECOS字段包含一组逗号分隔的帐户信息。这可以包括一个人的全名、房间号或办公室和家庭电话号码。
• Home：帐户主目录的路径。
• Shell：当用户登录到计算机时开始。

空字段用冒号表示。

顺便说一下，finger命令从GECOS字段提取其信息。

相关：如何在Linux上使用finger命令

阴影文件

要查看“/etc/shadow”文件内部，必须使用sudo：

将显示该文件。对于“/etc/passwd”文件中的每个条目，“/etc/shadow”文件中应该有一个匹配的条目。

每行代表一个帐户，有九个冒号分隔的字段：

• 用户名：帐户的登录名。
• 加密密码：帐户的加密密码。
• 上次更改：上次更改密码的日期。
• 最短天数：密码更改之间所需的最短天数。此人必须等待此天数才能更改密码。如果此字段包含零，他可以随时更改密码。
• 最长天数：更改密码之间所需的最长天数。通常，此字段包含非常大的数字。为“mary”设置的值是99999天，即27年。
• 提醒天数：密码过期日期前显示提醒消息的天数。
• 重置锁定：密码过期后，系统等待此天数（宽限期）才能禁用帐户。
• 帐户到期日期：帐户所有者将无法再登录的日期。如果此字段为空，则帐户永不过期。
• 保留字段：供将来使用的空白字段。

空字段用冒号表示。

获取“上次更改”字段作为日期

Unix时代始于1970年1月1日。“上次更改”字段的值为18209。这是1970年1月1日以后的天数，帐户“mary”的密码被更改了。

使用此命令可将“上次更改”值视为日期：

日期显示为上次更改密码当天的午夜。在这个例子中，是2019年11月9日。

passwd命令

您可以使用passwd命令更改您的密码，如果您拥有sudo权限，还可以更改其他人的密码。

要更改密码，请使用不带参数的passwd命令：

您必须键入当前密码和新密码两次。

更改其他人的密码

要更改另一个帐户的密码，必须使用sudo，并提供帐户名：

必须键入密码以验证您是否具有超级用户权限。键入帐户的新密码，然后再次键入以确认。

强制更改密码

要强制某人在下次登录时更改密码，请使用-e（expire）选项：

您被告知密码过期日期已更改。

帐户“mary”的所有者下次登录时，必须更改密码：

锁定帐户

要锁定帐户，请使用-l（lock）选项键入passwd：

你被告知密码过期日期已更改。

帐户的所有者将无法再使用她的密码登录到计算机。要解锁帐户，请使用-u（解锁）选项：

再次通知您密码过期数据已更改：

同样，帐户的所有者将无法再使用她的密码登录到计算机。但是，她仍然可以使用不需要密码的身份验证方法登录，例如SSH密钥。

如果你真的想把某人锁在电脑外面，你需要终止帐户。

相关：如何从Linux Shell创建和安装SSH密钥

chage命令

不，chage中没有“n”。它代表“更改年龄”。您可以使用chage命令为整个帐户设置过期日期。

让我们看看“mary”帐户的当前设置，以及-l（list）选项：

帐户的到期日期设置为“从不”

要更改过期日期，请使用-E（expiry）选项。如果您将其设置为零，这将被解释为“从Unix时代开始的零天”，即1970年1月1日。

键入以下内容：

复核账户到期日：

因为过期日期是过去的，所以不管所有者可能使用什么身份验证方法，此帐户现在都被真正锁定。

要恢复帐户，请使用与数字参数-1相同的命令：

键入以下内容以再次检查：

帐户到期日期重置为“从不”

在gnome中更改帐户密码

Ubuntu和许多其他Linux发行版使用GNOME作为默认桌面环境。您可以使用“设置”对话框更改帐户的密码。

为此，在“系统”菜单中，单击“设置”图标。

在“设置”对话框中，单击左侧窗格中的“详细信息”，然后单击“用户”

单击要更改其密码的帐户；在本例中，我们将选择“Mary Quinn”。单击该帐户，然后单击“解锁”

系统会提示您输入密码。经过身份验证后，“玛丽”的详细信息将变为可编辑。单击“密码”字段。

在“更改密码”对话框中，单击“立即设置密码”单选按钮。

在“新密码”和“验证新密码”字段中键入新密码。

如果密码条目匹配，“更改”按钮变为绿色；单击它保存新密码。

在其他桌面环境中，帐户工具将与GNOME中的类似。

保持安全，保持安全

60年来，密码一直是在线账户安全的重要组成部分，而且不会很快消失。

这就是为什么明智地管理它们很重要。如果您了解Linux中的密码机制并采用最佳密码实践，您将保持系统的安全。