60年來，密碼一直是帳戶安全的基石，比Unix早了近10年。瞭解如何在Linux中使用命令列或GNOME桌面環境來管理密碼。

如何選擇強密碼

計算機密碼是出於需要而產生的。隨著多使用者分時計算機系統的出現，分離和保護人們資料的重要性變得明顯，密碼解決了這個問題。

密碼仍然是最常見的帳戶身份驗證形式。雙因素和多因素身份驗證增強了密碼保護，生物特徵身份驗證提供了另一種身份驗證方法。然而，好的舊密碼仍然與我們同在，並將在未來很長一段時間。這意味著您需要知道如何最好地建立和使用它們。一些舊的做法不再有效。

以下是一些基本的密碼規則：

• 根本不用密碼：改用密碼短語。用標點符號、符號或數字連線起來的三個或四個不相關的單詞比用一串gobbledygook或母音換成數字的密碼更難破解。
• 不要重複使用密碼：不要在相同或不同的系統上重複使用密碼。
• 不要共享你的密碼：密碼是私有的。不要和別人分享。
• 不要將密碼建立在個人重要資訊的基礎上：不要使用家庭成員的名字、運動隊、最喜歡的樂隊，或者其他任何可能被社會工程或從你的社交媒體推斷出來的資訊。
• 不要使用模式密碼：不要將密碼建立在金鑰的模式或位置上，例如qwerty、1q2w3e等等。

密碼過期策略不再是最佳實踐。如果你採用了強大、安全的密碼短語，你只需要在懷疑它們被洩露的情況下更改它們。經常更改密碼會無意中導致糟糕的密碼選擇，因為許多人使用基本密碼，只是在密碼末尾新增日期或數字。

美國國家標準與技術研究所（nationalstituteofstandardsandtechnology）就密碼、使用者識別和認證等問題撰寫了大量著作。他們的意見在特別出版物800-63-3：數字認證指南中公開。

passwd檔案

過去，類Unix作業系統在“/etc/passwd”檔案中儲存密碼以及有關每個帳戶的其他資訊。今天，“/etc/passwd”檔案仍然儲存帳戶資訊，但加密的密碼儲存在“/etc/shadow”檔案中，該檔案的訪問受到限制。相比之下，任何人都可以檢視“/etc/passwd”檔案。

要檢視“/etc/passwd”檔案內部，請鍵入以下命令：

將顯示檔案的內容。讓我們看看這個名為“瑪麗”的帳戶的詳細資訊

每行代表一個帳戶（或一個有“使用者”帳戶的程式）。有以下七個冒號分隔的欄位：

• 使用者名稱：帳戶的登入名。
• 密碼：“x”表示密碼儲存在/etc/shadow檔案中。
• 使用者ID:此帳戶的使用者識別符號。
• 組ID:此帳戶的組識別符號。
• GECOS：這代表通用電氣綜合運營主管。今天，GECOS欄位包含一組逗號分隔的帳戶資訊。這可以包括一個人的全名、房間號或辦公室和家庭電話號碼。
• Home：帳戶主目錄的路徑。
• Shell：當用戶登入到計算機時開始。

空欄位用冒號表示。

順便說一下，finger命令從GECOS欄位提取其資訊。

相關：如何在Linux上使用finger命令

陰影檔案

要檢視“/etc/shadow”檔案內部，必須使用sudo：

將顯示該檔案。對於“/etc/passwd”檔案中的每個條目，“/etc/shadow”檔案中應該有一個匹配的條目。

每行代表一個帳戶，有九個冒號分隔的欄位：

• 使用者名稱：帳戶的登入名。
• 加密密碼：帳戶的加密密碼。
• 上次更改：上次更改密碼的日期。
• 最短天數：密碼更改之間所需的最短天數。此人必須等待此天數才能更改密碼。如果此欄位包含零，他可以隨時更改密碼。
• 最長天數：更改密碼之間所需的最長天數。通常，此欄位包含非常大的數字。為“mary”設定的值是99999天，即27年。
• 提醒天數：密碼過期日期前顯示提醒訊息的天數。
• 重置鎖定：密碼過期後，系統等待此天數（寬限期）才能禁用帳戶。
• 帳戶到期日期：帳戶所有者將無法再登入的日期。如果此欄位為空，則帳戶永不過期。
• 保留欄位：供將來使用的空白欄位。

空欄位用冒號表示。

獲取“上次更改”欄位作為日期

Unix時代始於1970年1月1日。“上次更改”欄位的值為18209。這是1970年1月1日以後的天數，帳戶“mary”的密碼被更改了。

使用此命令可將“上次更改”值視為日期：

日期顯示為上次更改密碼當天的午夜。在這個例子中，是2019年11月9日。

passwd命令

您可以使用passwd命令更改您的密碼，如果您擁有sudo許可權，還可以更改其他人的密碼。

要更改密碼，請使用不帶引數的passwd命令：

您必須鍵入當前密碼和新密碼兩次。

更改其他人的密碼

要更改另一個帳戶的密碼，必須使用sudo，並提供帳戶名：

必須鍵入密碼以驗證您是否具有超級使用者許可權。鍵入帳戶的新密碼，然後再次鍵入以確認。

強制更改密碼

要強制某人在下次登入時更改密碼，請使用-e（expire）選項：

您被告知密碼過期日期已更改。

帳戶“mary”的所有者下次登入時，必須更改密碼：

鎖定帳戶

要鎖定帳戶，請使用-l（lock）選項鍵入passwd：

你被告知密碼過期日期已更改。

帳戶的所有者將無法再使用她的密碼登入到計算機。要解鎖帳戶，請使用-u（解鎖）選項：

再次通知您密碼過期資料已更改：

同樣，帳戶的所有者將無法再使用她的密碼登入到計算機。但是，她仍然可以使用不需要密碼的身份驗證方法登入，例如SSH金鑰。

如果你真的想把某人鎖在電腦外面，你需要終止帳戶。

相關：如何從Linux Shell建立和安裝SSH金鑰

chage命令

不，chage中沒有“n”。它代表“更改年齡”。您可以使用chage命令為整個帳戶設定過期日期。

讓我們看看“mary”帳戶的當前設定，以及-l（list）選項：

帳戶的到期日期設定為“從不”

要更改過期日期，請使用-E（expiry）選項。如果您將其設定為零，這將被解釋為“從Unix時代開始的零天”，即1970年1月1日。

鍵入以下內容：

複核賬戶到期日：

因為過期日期是過去的，所以不管所有者可能使用什麼身份驗證方法，此帳戶現在都被真正鎖定。

要恢復帳戶，請使用與數字引數-1相同的命令：

鍵入以下內容以再次檢查：

帳戶到期日期重置為“從不”

在gnome中更改帳戶密碼

Ubuntu和許多其他Linux發行版使用GNOME作為預設桌面環境。您可以使用“設定”對話方塊更改帳戶的密碼。

為此，在“系統”選單中，單擊“設定”圖示。

在“設定”對話方塊中，單擊左側窗格中的“詳細資訊”，然後單擊“使用者”

單擊要更改其密碼的帳戶；在本例中，我們將選擇“Mary Quinn”。單擊該帳戶，然後單擊“解鎖”

系統會提示您輸入密碼。經過身份驗證後，“瑪麗”的詳細資訊將變為可編輯。單擊“密碼”欄位。

在“更改密碼”對話方塊中，單擊“立即設定密碼”單選按鈕。

在“新密碼”和“驗證新密碼”欄位中鍵入新密碼。

如果密碼條目匹配，“更改”按鈕變為綠色；單擊它儲存新密碼。

在其他桌面環境中，帳戶工具將與GNOME中的類似。

保持安全，保持安全

60年來，密碼一直是線上賬戶安全的重要組成部分，而且不會很快消失。

這就是為什麼明智地管理它們很重要。如果您瞭解Linux中的密碼機制並採用最佳密碼實踐，您將保持系統的安全。