Uso ubuntu para computación personal. He leído un consejo en muchas preguntas aquí para tener una contraseña de root fuerte. No entiendo lo que está mal con una contraseña de root débil. Después de todo, tenemos que escribir la contraseña de root varias veces, y no es conveniente escribir una contraseña segura una y otra vez.
¿Cuáles pueden ser las posibles amenazas si utilizo una contraseña de root no tan fuerte ?
Si tienes una contraseña de root débil y cualquier cosa accede a ella, acabas de perder tu PC. No es el hardware, pero en teoría ni siquiera un borrado completo del disco seguido de una reinstalación lo limpiará (hay al menos conceptos de infectar el firmware, lo que sería fácil con el acceso de root). Probablemente, puede infectarse con ransomware o formar parte de una botnet. Eso es por los riesgos.
Posibles vectores de ataque: ¿está absolutamente seguro de que cada programa que utiliza no tiene ningún error de ejecución remota de código? Ya sabes, hubo errores de ejecución remota de código en el código de manejo de imágenes. Podría obtener un bot que funcione en su cuenta local e intente descifrar la contraseña de root. O, si ejecuta el servidor SSH, expóngalo a Internet y no ha bloqueado el inicio de sesión de root (no sé si es el valor predeterminado en Ubuntu), lo que cualquiera puede intentar de forma remota.
Siguiente: ¿con qué frecuencia escribe la contraseña de root? ¿Diario? ¿Semanal? Cada 5 minutos?
Para ser honesto, no deberías hacerlo muy a menudo. De hecho, es perfectamente posible usar Ubuntu sin que tenga una contraseña de root. Por defecto, Ubuntu usa sudo . Eso se suma al problema, ya que ahora su propia contraseña tiene el valor de la contraseña de la raíz.
Editar:
Recuerde que el hecho de que no utilice los programas del servidor no significa que no se estén ejecutando. Ubuntu (en realidad, Debian) tiene una política IMHO que, cada vez que instala un paquete que puede ejecutar cualquier tipo de servidor, lo agrega al script de inicio y, de hecho, ejecuta el software en el momento de la instalación. Es una locura, ya que ejecuta el software antes de que tenga la oportunidad de configurarlo. El hecho de que no tenga una IP estática no es un bloqueador para los exploradores aleatorios; de hecho, mi servidor obtiene más exploraciones a partir de adivinanzas aleatorias de IP que del nombre DNS asignado. Un NAT o firewall entre usted e Internet ayudaría un poco (dependiendo de cómo esté configurado), pero una IP pública no estática no lo hace. No es que alguien esté tratando de hackearte específicamente. Solo se trata de bots que escanean rangos completos de direcciones para máquinas vulnerables. No importa si lo intentan al principio del rango o en el medio.
El hecho de que use solo programas de código abierto no le dice que use solo programas seguros. El código abierto solo significa que más ojos pueden ver más fácilmente el código. No significa que más ojos realmente lo miren, y no significa que los ojos que notan un error lo van a compartir y posiblemente lo solucionen. Si bien mi opinión personal es que FLOSS es más seguro que el software propietario, solo es "más seguro" y no "siempre seguro".
Al usar una contraseña débil, esencialmente estás renunciando a una capa de la defensa en profundidad. Si alguien puede engañarlo para que ejecute algo o hacer que se ejecuten unos pocos bytes de desbordamiento de búfer, es un brindis, y lo ha hecho más fácil, porque una contraseña segura (la raíz o la suya) podría haber ralentizado el ataque lo suficiente. que te das cuenta de algo.
Tiene que sopesar el riesgo de perder todo lo que tiene en esa máquina y de abrir el acceso a cualquier sitio web que use habitualmente en él (menos probablemente alguno que use) contra su conveniencia.
Descargo de responsabilidad: soy paranoico por elección.
Las contraseñas cortas son propensas a la navegación fácil por el hombro y la fuerza bruta. Si está seguro de que todos los servicios a los que se puede acceder de forma remota están desactivados, no dude en mantener una contraseña corta. Además, asegúrese de no almacenar información valiosa, confidencial o confidencial en dicho sistema.
El punto es hacer que el esfuerzo de descifrado de contraseñas sea tan difícil que comprometerlo posiblemente tome tiempo y recursos suficientes como el valor de la información almacenada en el sistema o hasta que la contraseña caduque o se cambie. Sin embargo, dado el poder de la nube, ahora el brutal forzar algo se ha vuelto más barato.
P.S .: Tenía ganas de poner los comentarios como respuesta.
Lea otras preguntas en las etiquetas passwords password-management