Tecmintは2018年2月23日(米国時間)、「How to Force User to Change Password at Next Login in Linux」において、Linuxでユーザーがログインするタイミングでパスワードの変更を強制する方法を紹介した。新規でユーザーアカウントを作成した場合など、この設定を行うことで、ユーザーにパスワードの設定を促すことができる。

紹介されている方法は次のとおり。

passwd --expire ユーザ名

ユーザーが次回のログイン時にパスワードの変更が強制されるかどうかは、次のようにchage(1)コマンドを利用することで確認できる。

  • chage(1)コマンドでユーザが次回ログイン時にパスワード変更を強要されるかどうかの確認

    chage(1)コマンドでユーザが次回ログイン時にパスワード変更を強要されるかどうかの確認

対象のユーザーは、ログイン時に次のようにパスワードの変更を強制されるようになる。

  • ログイン時にパスワードの変更を強要されたユーザの例

    ログイン時にパスワードの変更を強要されたユーザの例

設定するパスワードは一定の基準に達していないと設定することができず、また、現行と同じパスワードを設定することはできないため、ある程度別のパスワードに強制変更させることには効果がある。

ただし、パスワードの強制変更に関しては、ユーザーがこれまで使っていたパスワードの最後に新しい文字を追加するだけといった変更をする例などもあり、セキュリティを確保する上で好ましくないとする研究結果も発表されている。組織全体での運用を考えて実施することが望ましい。