He tenido el reto de auditar un sistema de seguridad en un escenario y dar varias áreas que tenemos que auditar. La mayoría de los cuales eran fáciles de entender y de proporcionar vulnerabilidades, además de mitigarlas. Sin embargo, uno de ellos es nombres de usuario, en los que no tengo ninguna pista en absoluto. Me guiaron y me dijeron que usara sudo su y less / etc / passwd para ver una lista de nombres de usuarios, Bastante fácil.
La única vulnerabilidad potencial es que no puede descifrar / usar una contraseña para obtener acceso a una cuenta si no tiene un nombre de usuario, entonces, ¿qué podría hacer alguien para mitigar eso? Me ha dejado perplejo durante semanas.