Es hängt wirklich davon ab, was Sie passwortlose Konten nennen . Ein Konto mit einem leeren Passwort in der Passwortdatenbank (normalerweise /etc/shadow) ist höchst unsicher, weil jeder es benutzen könnte. Andererseits ein unmöglich zuzuordnendes Passwort wie *
in derselben Datenbank verhindert, dass sich jemand mit diesem Konto anmeldet, da kein Passwort jemals einen solchen Hash ergeben könnte. Im letzteren Fall ist das Hinzufügen eines Passworts einfach nutzlos und senkt sogar die Kontosicherheit, da es brutal erzwungen werden könnte.
Du hast das richtig verstanden.
Meiner Ansicht nach gibt es keinen Sicherheitsvorteil, wenn Sie kein Passwort haben, wenn Sie die Möglichkeit haben, ein Passwort zu haben. Eine Authentifizierungsebene für einen Benutzer zu haben, ist fast immer sicherer, als sie nicht zu haben. Selbst wenn /etc/shadow offengelegt wird, muss ein Angreifer das Passwort entdecken und daraus abrufen/brute forcen.
Es kann Situationen geben, in denen Sie möchten, dass ein Konto kein Passwort hat, vielleicht ein Dienstkonto oder so etwas, aber dieses hat nichts damit, das Konto sicherer zu machen, und alles, was mit Praktikabilität, Bequemlichkeit und/oder Funktionalität zu tun hat.
UPDATE:Nur um hinzuzufügen, dass das Hinzufügen eines Passworts, wenn noch keines vorhanden ist, wie von Serge Ballesta beschrieben, natürlich etwas einführt, das angegriffen werden kann.
Das einzige Mal, dass ich diese Verwirrung gesehen habe, war in einer großen Organisation, in der InfoSec die Verwendung bestimmter Tools zur Sicherheitshärtung vorgeschrieben hat. Die Tools haben manchmal spezifische Anforderungen an die Passwortstärke und -rotation, oder sie haben Anforderungen an die Passwortauthentifizierung auf sudo.
Dies führt zu der unangenehmen Diskussion „kein Passwort“ und der endlosen Verwirrung des Managements. Um es klar zu sagen, versuche ich zu sagen "Passwort-Authentifizierung ist nicht möglich".
Anstatt eine Sicherheitsausnahme von Passwortanforderungen zu erhalten oder sie einem Prüfer zu erklären, wird es notwendig, die Passwortauthentifizierung zu aktivieren und Passwörter zu erstellen.
Dies ist im Allgemeinen weniger sicher, führt zu Problemen in Bezug auf Sperrungen und Ablauf, die sich auf die sichereren Zugriffsmethoden auswirken.
Wenn Sie die InfoSec-Richtlinien Ihres Unternehmens und die Standards, die es einhalten muss, überprüfen, könnte dies die Richtlinie erklären.