Der Benutzer wird zuerst nach seinem alten Passwort gefragt, falls eines vorhanden ist. Dieses Passwort wird dann verschlüsselt und mit dem gespeicherten Passwort verglichen. Der Benutzer hat nur eine Gelegenheit, das richtige Passwort einzugeben. Der Superuser kann diesen Schritt überspringen, um so vergessene Passwörter zu ändern.
Nachdem das Passwort eingegeben wurde, werden Informationen über die Gültigkeitsdauer des Passworts abgefragt, um festzustellen, ob der Benutzer das Passwort zu dieser Zeit verändern darf. Wenn nicht, lehnt passwd die Änderung des Passworts ab und beendet sich.
Der Benutzer wird dann aufgefordert, zweimal ein neues Passwort einzugeben. Beide Eingaben werden miteinander verglichen. Sie müssen übereinstimmen, damit das Passwort geändert wird.
Anschließend wird das Passwort auf seine Komplexität überprüft. Eine allgemeine Richtlinie besagt, dass Passwörter aus sechs bis acht Zeichen bestehen sollten und ein oder mehrere Zeichen aus folgenden Mengen enthalten sollten:
Seien Sie vorsichtig, dass Sie nicht die standardmäßigen Lösch- und Kill-Zeichen des Systems eingeben. passwd weist Passwörter zurück, die nicht hinreichend komplex sind.
Die Sicherheit eines Passworts hängt von der Stärke des Verschlüsselungsalgorithmus und von der Größe des Schlüsselraums ab. Die hergebrachte Verschlüsselung auf UNIX-Systemen basiert auf dem NBS-DES-Algorithmus. Heutzutage sind neuere Verschlüsselungsmethoden zu empfehlen (vergleiche ENCRYPT_METHOD). Die Größe des Schlüsselraums hängt von der Zufälligkeit des gewählten Passworts ab.
Gefahren für die Sicherheit von Passwörtern kommen gewöhnlich von sorgloser Wahl oder Handhabung des Passworts. Daher sollten Sie kein Passwort wählen, das in einem Wörterbuch auftaucht oder das aufgeschrieben werden muss. Das Passwort sollte somit kein echter Name, Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein. All das kann dazu verwendet werden, das Passwort zu erraten, und stellt daher eine Gefahr für die Sicherheit Ihres Systems dar.
You can find advice on how to choose a strong password on http://en.wikipedia.org/wiki/Password_strength
Die Optionen, die vom Befehl passwd unterstützt werden, sind:
-a, --all
-d, --delete
-e, --expire
-h, --help
-i, --inactive INAKTIV
-k, --keep-tokens
-l, --lock
Beachten Sie, dass damit nicht das Konto deaktiviert wird. Der Benutzer kann sich immer noch mit einer anderen Authentifizierungsmethode (etwa einem SSH-Schlüssel) anmelden. Um ein Konto abzuschalten, sollte der Administrator usermod --expiredate 1 verwenden; dies setzt das Verfallsdatum des Kontos auf den 2. Januar 1970.
Benutzer mit einem gesperrten Passwort können dieses nicht ändern.
-n, --mindays MIN_TAGE
-q, --quiet
-r, --repository DEPOT
-R, --root CHROOT_VERZ
-S, --status
-u, --unlock
-w, --warndays WARN_TAGE
-x, --maxdays MAX_TAGE
Die Komplexität der Passwortprüfung kann sich auf verschiedenen Systemen unterscheiden. Der Benutzer wird angehalten, ein möglichst komplexes, von ihm aber gut zu verwendendes Passwort zu wählen.
Benutzer können unter Umständen ihr Passwort nicht ändern, wenn auf dem System NIS aktiviert ist, sie aber nicht am NIS-Server angemeldet sind.
passwd verwendet PAM, um einen Benutzer zu authentifizieren und sein Passwort zu ändern.
/etc/passwd
/etc/shadow
/etc/pam.d/passwd
Der Befehl passwd gibt beim Beenden folgende Werte zurück:
0
1
2
3
4
5
6
chpasswd(8), passwd(5), shadow(5), usermod(8).