En este momento, hay cero contraseñas que funcionarán si un atacante las adivina al azar. Si establece una contraseña, hay al menos una que funciona si un atacante la adivina al azar. Es un porcentaje infinito más probable de suceder (aún muy, muy poco probable, pero es una posibilidad distinta de cero en comparación con la posibilidad literalmente cero de que ocurra sin contraseña), por lo que su sistema es menos seguro con el inicio de sesión de contraseña habilitado para ese usuario.
Hay casos en que las contraseñas son útiles: por ejemplo, si inicia sesión a través de una clave SSH, pero quiere poder ejecutar sudo
, es mejor tener una contraseña que proteja a sudo
, porque eso significa que alguien quien de alguna manera obtiene su clave privada SSH no puede iniciar sesión en el servidor y ejecutar sudo
. Del mismo modo, en teoría, puede configurarlo para que necesite una clave y para iniciar sesión, y no almacenar la contraseña en ningún lugar, sino en su cabeza, aunque es más común simplemente cifrar la clave privada con un frase de contraseña e ingrese esa frase de contraseña cada vez que quiera usar la clave, lo que logra esencialmente el mismo objetivo.
Pero lo que estos tienen en común es que hay situaciones en las que usted necesita usar la contraseña. Agregar otro sistema de autenticación que nunca use no puede mejorar la seguridad, porque la única forma en que un sistema de autenticación proporciona seguridad es exigiéndole que se autentique con él. Si nunca lo usas (porque descartaste la contraseña después de crearla), entonces un atacante tampoco tiene que hacerlo, por lo que pueden aplicar el mismo ataque que usarían si el sistema no estuviera habilitado. Si un atacante lo utiliza , es porque es un ataque más fácil que el que usarían si estuviera deshabilitado, por lo que se reduce la seguridad.