GNU/Linux >> Tutoriales Linux >  >> Linux

¿Por qué algunas personas piensan que las cuentas de máquinas Linux con contraseña son más seguras que las cuentas sin contraseña?

Realmente depende de lo que llames cuentas sin contraseña . Una cuenta con una contraseña vacía en la base de datos de contraseñas (normalmente /etc/shadow) es altamente insegura porque cualquiera podría usarla. Por otro lado, una contraseña imposible de igualar como * en la misma base de datos evita que alguien inicie sesión con esta cuenta porque ninguna contraseña podría dar tal hash. En el último caso, agregar una contraseña es simplemente inútil y en realidad reduce la seguridad de la cuenta porque podría ser forzado.


Su comprensión es correcta.

En mi opinión, no hay ningún beneficio de seguridad por no tener una contraseña cuando tienes la opción de tener una. Tener una capa de autenticación para un usuario casi siempre será más seguro que no tenerla. Incluso si /etc/shadow está expuesto, un atacante aún necesitará descubrir y recuperar/forzar brutamente la contraseña.

Puede haber situaciones en las que desee que una cuenta no tenga contraseña, tal vez alguna cuenta de servicio o algo así, pero esto tiene nada. que ver con hacer la cuenta más segura y todo lo que tenga que ver con practicidad, conveniencia y/o funcionalidad.

ACTUALIZACIÓN:solo para agregar que agregar una contraseña cuando aún no hay una, como lo describe Serge Ballesta, por supuesto, introducirá algo que puede ser atacado.


La única vez que he visto surgir esta confusión es en una organización grande donde InfoSec ordenó el uso de herramientas de refuerzo de seguridad particulares. Las herramientas a veces tenían requisitos específicos sobre la seguridad y la rotación de la contraseña, o tienen requisitos para tener autenticación de contraseña en sudo.

Esto lleva a la incómoda discusión de "sin contraseña" y la interminable confusión de la administración. Para que quede claro, trato de decir "la autenticación con contraseña no es posible".

En lugar de obtener una exención de seguridad de los requisitos de contraseña o explicárselo a un auditor, es necesario habilitar la autenticación de contraseña y crear contraseñas.

Por lo general, esto es menos seguro, presenta problemas relacionados con los bloqueos y la caducidad que afectan a los métodos de acceso más seguros.

Si revisa las políticas de InfoSec de su empresa y los estándares que deben cumplir, podría explicar la política.


Linux

  1. Cómo permitir ssh con contraseñas vacías en Linux

  2. Fortalecimiento de la máquina de escritorio Linux contra personas de mi hogar

  3. ¿Cómo comprobar la contraseña con Linux?

  4. ssh:¿por qué puedo iniciar sesión con contraseñas parciales?

  5. ¿Por qué un enrutador de hardware funciona mejor que un enrutador Linux con mejores especificaciones (RAM y CPU)?

Cómo administrar sus contraseñas con Enpass en Linux

Encuentra cuentas de usuario con contraseña vacía en Linux

Encuentre y elimine el archivo más antiguo si hay más de X archivos en un directorio en Linux

Cómo administrar contraseñas de Linux con el comando pass

Cómo asegurar servidores Linux con SE Linux

Cómo manejar contraseñas de cuentas en Linux con el comando passwd