密碼是帳戶安全的基石。我們將向您展示如何在Linux網路上重置密碼、設定密碼過期期限和強制更改密碼。

密碼已經存在了近60年

自從20世紀60年代中期密碼第一次出現以來，我們就一直在向計算機證明我們就是我們所說的那個人。必要性是發明之母，麻省理工學院開發的相容分時系統需要一種方法來識別系統上不同的人。它還需要防止人們看到彼此的檔案。

費爾南多J.科爾巴託提出了一個方案，為每個人分配一個唯一的使用者名稱。為了證明某人就是他們所說的那個人，他們必須使用私人密碼來訪問他們的帳戶。

密碼的問題是，它們就像鑰匙一樣工作。有鑰匙的人都可以用。如果有人發現、猜到或弄清楚你的密碼，那個人可以訪問你的帳戶。在多因素身份驗證普遍可用之前，密碼是唯一能阻止未經授權的人（網路安全中的威脅參與者）進入系統的東西。

安全Shell（SSH）建立的遠端連線可以配置為使用SSH金鑰而不是密碼，這很好。但是，這只是一種連線方法，它不包括本地登入。

顯然，管理密碼是至關重要的，管理使用這些密碼的人也是如此。

相關：如何從Linux Shell建立和安裝SSH金鑰

密碼的解剖

到底是什麼讓密碼好呢？好的密碼應該具備以下所有屬性：

• 不可能猜出來或弄清楚。
• 你在別的地方都沒用過。
• 它沒有涉及資料洩露。

“我被遮蔽了”（HIBP）網站包含超過100億套被破壞的憑據。有這麼高的數字，很可能是別人用了和你一樣的密碼。這意味著你的密碼可能在資料庫中，即使不是你的帳戶被破壞。

如果您的密碼在HIBP網站上，這意味著它在密碼列表中，威脅參與者的暴力和字典攻擊工具在試圖破解帳戶時使用。

一個真正隨機的密碼（比如4HW@HpJDBr%*Wt@#b~aP）幾乎是無敵的，但是，當然，你永遠不會記得它。我們強烈建議您對聯機帳戶使用密碼管理器。它們為您的所有線上帳戶生成複雜、隨機的密碼，您不必記住它們密碼管理器為您提供正確的密碼。

對於本地帳戶，每個人都必須生成自己的密碼。他們還需要知道什麼是可接受的密碼，什麼是不可接受的密碼，必須告訴他們不要在其他帳戶上重複使用密碼，等等。

此資訊通常位於組織的密碼策略中。它指導人們使用最少數量的字元，混合大小寫字母，包括符號和標點符號，等等。

然而，根據卡內基梅隆大學一個研究小組的一篇全新論文，所有這些技巧對密碼的健壯性幾乎沒有任何影響。研究人員發現，密碼健壯性的兩個關鍵因素是它們至少有12個字元長，而且足夠強大。他們使用一些軟體破解程式、統計技術和神經網路來測量密碼強度。

最少12個字元一開始聽起來可能讓人望而生畏。但是，不要用密碼來思考，而是用標點符號分隔三個或四個不相關單詞的密碼短語。

例如，Experte密碼檢查器說破解“chicago99”需要42分鐘，但破解“chicago99”需要4000億年煙囪.紫色.袋子“它也很容易記憶和打字，只包含18個字元。

相關：為什麼你應該使用密碼管理器，以及如何開始

檢視當前設定

在你去改變任何與某人的密碼有關的事情之前，仔細看看他們當前的設定是明智的。使用passwd命令，可以使用-S（status）選項檢視它們的當前設定。請注意，如果您使用的是其他人的密碼設定，那麼還必須使用sudo with passwd。

我們鍵入以下內容：

一行資訊被列印到終端視窗，如下所示。

您可以在這個簡短的響應中看到以下資訊（從左到右）：

• 此人的登入名。
• One of the following three possible indicators appears here:
  • P:表示帳戶有有效的工作密碼。
  • L:表示該帳戶已被根帳戶的所有者鎖定。
  • NP:密碼還沒有設定。
• 上次更改密碼的日期。
• 最短密碼期限：帳戶所有者執行密碼重置之間必須經過的最短時間段（以天為單位）。但是，根帳戶的所有者可以隨時更改任何人的密碼。如果此值為0（零），則對密碼更改的頻率沒有限制。
• 最長密碼期限：當帳戶達到此期限時，系統會提示帳戶所有者更改其密碼。此值以天為單位，因此99999表示密碼永不過期。
• 密碼更改警告期：如果強制執行密碼最長期限，帳戶所有者將收到更改其密碼的提醒。其中第一個將被髮送的天數顯示在這裡之前的復位日期。
• 密碼的非活動期：如果有人在與密碼重置截止日期重疊的時間段內未訪問系統，則此人的密碼不會更改。此值指示密碼過期日期之後的寬限期天數。如果在密碼過期後的這段時間內帳戶仍處於非活動狀態，則帳戶將被鎖定。值為-1將禁用寬限期。

設定密碼最長使用期限

要設定密碼重置期限，可以使用-x（最大天數）選項和天數。在-x和數字之間不留空格，因此可以按如下方式鍵入：

我們被告知過期值已更改，如下所示。

使用-S（status）選項檢查值現在是否為45：

現在，45天內，必須為此帳戶設定新密碼。提醒將在七天前開始。如果未及時設定新密碼，則此帳戶將立即鎖定。

強制立即更改密碼

您還可以使用命令，以便您網路上的其他人下次登入時必須更改密碼。為此，可以使用-e（expire）選項，如下所示：

然後我們被告知密碼過期資訊已更改。

讓我們檢查一下-s選項，看看發生了什麼：

最後一次更改密碼的日期設定為1970年的第一天。下次此人嘗試登入時，必須更改其密碼。在鍵入新密碼之前，他們還必須提供當前密碼。

您應該強制更改密碼嗎？

強迫人們經常更改密碼是常識。它是大多數安裝的常規安全步驟之一，被認為是一個良好的業務實踐。

現在的想法是極為相反的。在英國，國家網路安全中心強烈建議禁止使用常規密碼更新，美國國家標準與技術研究所同意。只有當您知道或懷疑現有密碼被其他組織知曉時，兩個組織都建議強制執行密碼更改。

強迫人們更改密碼會變得單調乏味，而且會鼓勵使用弱密碼。人們通常開始重複使用帶有日期或其他數字標籤的基本密碼。或者，他們會把它們寫下來，因為他們不得不經常更改它們，以至於記不住它們。

我們在上面提到的兩個組織建議密碼安全的以下指導原則：

• 使用密碼管理器：用於線上和本地帳戶。
• 啟用雙因素身份驗證：無論這是什麼選項，都要使用它。
• 使用強密碼短語：對於那些無法使用密碼管理器的帳戶來說，這是一個很好的選擇。用標點或符號分隔三個或更多單詞是一個很好的模板。
• 永遠不要重複使用密碼：避免使用相同的密碼，你用另一個帳戶，絕對不要使用一個列在我已經被pwne。

以上提示將允許您建立一個安全的方法來訪問您的帳戶。一旦你有了這些指導方針，就要堅持下去。如果你的密碼安全可靠，為什麼要修改它？如果它落入壞人之手或你懷疑它有你可以改變它然後。

不過，有時候，這個決定不在你的掌控之中。如果強制密碼的許可權發生變化，您就沒有太多選擇。你可以為自己辯護，表明自己的立場，但除非你是老闆，否則你必須遵守公司的政策。

相關：你應該定期更改密碼嗎？

chage命令

您可以使用chage命令更改有關密碼老化的設定。此命令的名稱來自“change aging”，它類似於passwd命令，刪除了密碼建立元素。

l（list）選項顯示的資訊與passwd-S命令相同，但更友好。

我們鍵入以下內容：

另一個妙招是可以使用-E（expiry）選項設定帳戶到期日期。我們將傳遞一個日期（以年-月-日期格式）以將到期日期設定為2020年11月30日。在那一天，帳戶將被鎖定。

我們鍵入以下內容：

接下來，我們鍵入以下內容以確保已完成此更改：

我們看到賬戶到期日從“從不”改為2020年11月30日。

要設定密碼過期期限，可以使用-M（maximum days）選項，以及密碼在必須更改之前可以使用的最大天數。

我們鍵入以下內容：

我們使用-l（list）選項鍵入以下內容，以檢視命令的效果：

密碼過期日期現在設定為45天，從我們設定的日期算起，如圖所示，將是2020年12月8日。

為網路上的每個人更改密碼

建立帳戶時，密碼將使用一組預設值。您可以定義最小、最大和警告天數的預設值。這些檔案儲存在一個名為“/等”的檔案中/登入.defs.”

可以鍵入以下內容在gedit中開啟此檔案：

滾動至密碼老化控制元件。

您可以編輯這些以滿足您的需求，儲存更改，然後關閉編輯器。下次建立使用者帳戶時，將應用這些預設值。

如果要更改現有使用者帳戶的所有密碼過期日期，可以透過指令碼輕鬆完成。只需鍵入以下內容即可開啟gedit編輯器並建立一個名為“password”的檔案-日期.sh”:

接下來，將以下文字複製到編輯器中，儲存檔案，然後關閉gedit：

這會將每個使用者帳戶的最大天數更改為28天，從而更改密碼重置頻率。您可以根據需要調整reset\u days變數的值。

首先，我們鍵入以下內容以使指令碼可執行：

現在，我們可以鍵入以下內容來執行指令碼：

然後處理每個帳戶，如下所示。

我們鍵入以下內容以檢查“mary”的帳戶：

最大天數被設定為28天，我們被告知將在2020年11月21日下降。您還可以輕鬆地修改指令碼並新增更多chage或passwd命令。

密碼管理是必須認真對待的事情。現在，你有了控制局面的工具。