¿Por qué algunas personas piensan que las cuentas de Linux con contraseñas son más seguras que las cuentas sin contraseñas?

Navega tus respuestas
6

Parece ser un tema recurrente que algunas personas están configuradas para agregar contraseñas a las cuentas del sistema con menos contraseñas en Linux "porque es más seguro". Actualmente tengo discusiones regulares con los clientes sobre esto. Ellos mismos no entienden mucho sobre TI, sin embargo, tienen expertos en seguridad que analizan sus sistemas y luego descubren que "esa cuenta no tiene una contraseña".

A mi entender, el contrario es el caso. Una cuenta que no tiene una contraseña tiene una opción menos para autenticar. O visto de manera diferente, si no hay contraseña, no puede ser forzado brutalmente. ¿Echo de menos algo? ¿Existe algún beneficio de seguridad al agregar una contraseña a una cuenta que técnicamente no necesita una contraseña?

    
pregunta Isaac 31.07.2017 - 15:15
fuente

3 respuestas

9

Realmente depende de lo que llames contraseña menos cuentas . Una cuenta con una contraseña vacía en la base de datos de contraseñas (normalmente / etc / shadow) es altamente insegura porque cualquiera podría usarla. Por otro lado, una contraseña imposible de igualar como * en la misma base de datos impide que alguien inicie sesión con esta cuenta porque ninguna contraseña podría dar tal hash. En este último caso, agregar una contraseña es simplemente inútil y en realidad reduce la seguridad de la cuenta, ya que podría ser imputable.

    
respondido por el Serge Ballesta 31.07.2017 - 16:10
fuente
4

Tu entendimiento es correcto.

En mi opinión, no hay un beneficio de seguridad al no tener una contraseña cuando tiene la opción de tener una contraseña. Tener una capa de autenticación para un usuario casi siempre será más seguro que no tenerla. Incluso si se expone / etc / shadow, un atacante todavía necesitará descubrir y recuperar / forzar la contraseña de este.

Puede haber situaciones en las que desee que una cuenta no tenga una contraseña, quizás alguna cuenta de servicio o algo así, pero esto no tiene nada que ver con hacer que la cuenta sea más segura y todo que ver con practicidad, conveniencia y / o funcionalidad.

ACTUALIZACIÓN: solo para agregar que se agrega una contraseña cuando ya no existe, tal como lo describe Serge Ballesta Por supuesto, va a introducir algo que puede ser atacado.

    
respondido por el TheJulyPlot 31.07.2017 - 15:32
fuente
2

La única vez que he visto surgir esta confusión es en una gran organización donde InfoSec ordenó el uso de herramientas de refuerzo de seguridad particulares. Las herramientas a veces tendrían requisitos específicos en cuanto a la fuerza de la contraseña y la rotación, o tendrían requisitos para tener autenticación de contraseña en sudo.

Esto lleva a la discusión incómoda de "sin contraseña" y la confusión sin fin de la administración. Para que quede claro, trato de decir "la autenticación de contraseña no es posible".

En lugar de obtener una exención de seguridad de los requisitos de contraseña, o explicárselo a un auditor, es necesario habilitar la autenticación de contraseña y crear contraseñas.

Esto generalmente es menos seguro, presenta problemas relacionados con los bloqueos y la caducidad que afectan a los métodos de acceso más seguros.

Si verifica las políticas de InfoSec de su compañía y los estándares que deben cumplir, podría explicar la política.

    
respondido por el mgjk 01.08.2017 - 18:49
fuente

Lea otras preguntas en las etiquetas

¿Dónde está el cargador de PE en Windows? ¿Cómo compartir archivos de forma segura con otras personas?