Ta solucija je mnogo nesigurna. U svakom slucaju mozes da napravis wrapper za passwd. Kao root da napises skriptu negde na nekom mestu gde samo ti znas da postoji. Da ona bude suid (mnoooogo glupo, ali ti svejedno zelis nesigurnu stvar) i da php zapravo poziva nju...

Jeste nesigurno ja kao i svaki cgi (skripta ili sta vec) koji je zaduzen za promenu lozinke preko Net-a (a svaki mora da bude suid ili da kasnije poziva nekog suida).
Samo je pravo cudo sto nijedan ISP nije to shvatio i ukinuo taj vid servisa.

Ako mislis da ISP-i drze usere kao klasicne korisnike, onda se varas. Normalna stvar je da se autetnikacija, i menjanje passwd-a odvija unutar ldap/sql/stavec baze, sto je system wide gledano savrseno bezbedno.