Loading

NOM

       passwd - Modifier le mot de passe d'un utilisateur

SYNOPSIS

       passwd [options] [LOGIN]

       La  commande  passwd  modifie  les  mots  de  passe   des  comptes  des
       utilisateurs. Un utilisateur normal peut uniquement modifier  le mot de
       passe de son compte (le plus souvent),  quand le Super-utilisateur a le
       pouvoir de changer  tous les mots de passe des comptes.  passwd  permet
       aussi d'associer  une période de validité aux comptes et mots de passe,
       et de les modifier.

   Modifications du mot de passe
       Le mot de passe (s'il existe) est d'abord demandé  à l'utilisateur.  Il
       est ensuite crypté  et comparé  à celui qui est stocké.  Un seul  essai
       est offert  à l'utilisateur.  Le Super-utilisateur peut  ignorer  cette
       étape, ceci afin que les mots de passe oubliés puissent être changés.

       Une fois le mot de passe entré,  les informations concernant la période
       de validité  du mot de passe  sont  vérifiées  afin  de  s'assurer  que
       l'utilisateur est autorisé à modifier  son mot de passe  à cet instant.
       Dans le cas contraire, passwd refuse de changer le mot de passe.

       Le nouveau mot de passe souhaité est demandé deux fois à l'utilisateur.
       Le second mot de passe  est comparé  avec le premier.  Ces deux mots de
       passe devront être identiques afin que le mot de passe soit changé.

       La complexité  de ce mot de passe  est  alors  testée.  Comme  ligne de
       conduite générale, un mot de passe devrait toujours être constitué de 6
       à 8 caractères,  dont  un ou plus  sont  choisis  parmi  les  ensembles
       suivants :

       ·   caractères alphabétiques minuscules

       ·   chiffres de 0 à 9

       ·   marques de ponctuation

       Il  faudra  faire  attention  à  ne  pas  utiliser  les  caractères  de
       suppression  ou d'effacement de ligne.  passwd  rejettera  tout  mot de
       passe dont la complexité ne sera pas suffisante.

   Astuces pour les mots de passe
       La sécurité d'un mot de passe  repose sur  la force de l'algorithme  de
       chiffrement et sur la taille de l'espace de clés utilisé. La méthode de
       chiffrement des systèmes UNIX  est basée  sur l'algorithme NBS DES. Des
       méthodes plus récentes sont aujourd'hui  recommandées  (se référer  par 
       exemple  à la variable ENCRYPT_METHOD  du fichier /etc/login.defs).  La
       taille de l'espace de clés dépend de l'aléa du mot de passe utilisé.

       Les compromissions de la sécurité des mots de passe  résultent  le plus
       souvent d'une négligence dans le choix du mot de passe,  ou lors de son
       utilisation.  Pour cette raison,  vous ne devez pas sélectionner de mot
       de passe apparaissant dans un dictionnaire ou devant être écrit. Le mot
       de passe ne doit pas être non plus  un nom propre,  un numéro de plaque
       minéralogique, une date de naissance, ou une adresse. En effet, ceux-ci
       pourraient être  essayés  lors  d'une tentative de compromission  de la
       sécurité du système.

       Informations & conseils concernant le choix d'un mot de passe robuste :
       http://en.wikipedia.org/wiki/Password_strength
       http://fr.wikipedia.org/wiki/Robustesse_des_mots_de_passe

OPTIONS

       Les options disponibles pour la commande passwd sont :

       -a, --all
           Cette option ne peut être utilisée que  conjointement avec l'option
           -S  et permet d'afficher  l'état  des mots de passe  pour  tous les
           utilisateurs.

       -d, --delete
           Supprime le mot de passe (le rend vide) d'un utilisateur. C'est une
           façon rapide de supprimer l'authentification par mot de passe  pour
           un compte. Le compte concerné ne possède plus de mot de passe.

       -e, --expire
           Annule immédiatement la validité du mot de passe d'un compte.  Ceci
           force  un  utilisateur  à  changer  son  mot de passe  lors  de  sa
           prochaine connexion.

       -h, --help
           Afficher un message d'aide et quitter.

       -i, --inactive DUREE_INACTIVITE
           Cette option permet  de désactiver  un compte  un certain nombre de
           jours après que  son mot de passe  soit arrivé  en fin de validité.
           Après qu'un mot de passe soit arrivé en fin de validité depuis plus
           de DUREE_INACTIVITE jours,l'utilisateur ne pourra plus se connecter
           avec ce compte.

       -k, --keep-tokens
           Cette option est utilisée  afin d'indiquer  que  la mise à jour  ne
           devrait être  effectuée  que  pour  les marques  d'authentification
           (mots de passe) ; l'utilisateur conserve ses marques non expirées.

       -l, --lock
           Verrouille le compte spécifié.  Cette option désactive complètement
           le mot de passe  en  le préfixant d'un  ´!´  (aucune valeur cryptée
           selon le mécanisme utilisé par passwd ne peut donc y correspondre).

           Le compte n'est  cependant pas désactivé :  l'utilisateur  peut  se
           connecter  si une autre méthode  pour s'identifier est prévue  (une
           clé SSH, par exemple). Pour désactiver le compte, un administrateur
           pourra utiliser  usermod --expiredate 1  (le compte  a expiré  le 2
           janvier 1970...)

           Un utilisateur avec un mot de passe verrouillé n'est pas autorisé à
           changer son mot de passe.

       -n, --mindays MIN_JOURS
           Définit  le nombre minimum de jours  entre chaque changement de mot
           de passe à MIN_JOURS. Une valeur égale à zéro dans ce champ indique
           que   l'utilisateur  peut  changer  son mot de passe  lorsqu'il  le
           souhaite.

       -q, --quiet
           Mode silencieux.

       -r, --repository DEPOT
           Change le mot de passe dans son DEPOT (répertoire, NIS, LDAP, ...)

       -S, --status
           Afficher l'état d'un compte. Cet état est constitué de 7 champs. Le
           premier champ est le nom du compte (login). Le second champ indique
           si le mot de passe est bloqué (L), n'a pas de mot de passe (NP)  ou
           a un mot de passe utilisable (P).  Le troisième champ donne la date
           de dernière modification du mot de passe.Les quatre champs suivants
           sont :  la durée minimum  avant modification,  la durée maximum  de
           validité,  la  durée  d'avertissement,  et  la  durée  d'inactivité
           autorisée pour le mot de passe. Les durées sont exprimées en jours.

       -u, --unlock
           Déverrouille  le  mot de passe  du  compte  indiqué.  Cette  option
           réactive  le mot  de passe  en  le  positionnant  à  la valeur  qui
           existait avant l'utilisation de l'option -l.

       -w, --warndays DUREE_AVERTISSEMENT
           Fixe le nombre de jours  avant que le changement de mot de passe ne
           soit  obligatoire.  DUREE_AVERTISSEMENT  est  le  nombre  de  jours
           précédant  la fin de validité  du mot de passe,  et durant lesquels 
           l'utilisateur  sera  averti  que son mot de passe est  sur le point
           d'arriver en fin de validité.

       -x, --maxdays MAX_JOURS
           Fixe le nombre maximum de jours  pendant  lesquels  un mot de passe
           reste  valable.  Après  MAX_JOURS,  le  mot  de  passe  devra  être
           obligatoirement modifié.

AVERTISSEMENTS

       La vérification  de la complexité des mots de passe  peut  varier  d'un
       site à l'autre.  Il est vivement  conseillé aux utilisateurs de choisir
       un mot de passe aussi complexe que possible dans la limite de ce qu'ils
       sont capables de mémoriser et utiliser avec un certain comfort.

       Il se peut  que les utilisateurs  ne puissent pas  changer  leur mot de
       passe sur un système si NIS est activé  et qu'ils ne sont pas connectés
       au serveur NIS.

       passwd utilise  PAM (Pluggable Authentication Modules)  pour identifier
       les utilisateurs et changer leurs mots de passe.

FICHIERS

       /etc/passwd
           Informations sur les comptes des utilisateurs.

       /etc/shadow
           Informations sécurisées sur les comptes utilisateurs.

       /etc/pam.d/passwd
           Configuration PAM (Pluggable Authentication Modules) pour passwd.

VALEURS DE RETOUR

       La commande passwd retourne les valeurs suivantes en quittant :

       0
           succès

       1
           permission refusée

       2
           combinaison d'options non valable

       3
           échec inattendu, rien n'a été fait

       4
           échec inattendu, le fichier passwd est manquant

       5
           fichier passwd en cours d'utilisation, veuillez réessayer plus tard

       6
           paramètre non valable pour l'option

VOIR AUSSI

       passwd(5), shadow(5), usermod(8).