Mivel egy jelszo valtast nem lehet transition modjara vegrehajtani (tehat hogy limitalt ideig megy a regi is meg az uj is)
/etc/pam.d/<service> -be:
# Clients still using the old password
auth sufficient pam_pwdfile.so pwdfile=/etc/shadow.old
# Standard Unix authentication
auth required pam_unix.so nullok_secure use_first_pass
Nyilván nagyon sok szolgáltatás nem használ PAM-et, de azért nem teljesen lehetetlen.