Itu sangat tergantung pada apa yang Anda sebut akun tanpa kata sandi . Akun dengan kata sandi kosong di basis data kata sandi (biasanya /etc/shadow) sangat tidak aman karena siapa pun dapat menggunakannya. Di sisi lain, kata sandi yang tidak mungkin cocok seperti * dalam basis data yang sama mencegah siapa pun untuk masuk dengan akun ini karena tidak ada kata sandi yang dapat memberikan hash seperti itu. Dalam kasus terakhir, menambahkan kata sandi tidak berguna dan sebenarnya menurunkan keamanan akun karena dapat dipaksakan secara paksa.
Pemahaman Anda benar.
Dalam pandangan saya, tidak ada manfaat keamanan untuk tidak memiliki kata sandi saat Anda memiliki opsi untuk memiliki kata sandi. Memiliki lapisan autentikasi untuk pengguna hampir selalu lebih aman daripada tidak memilikinya. Bahkan jika /etc/shadow terekspos, penyerang masih perlu menemukan dan mengambil/memaksa paksa kata sandi darinya.
Mungkin ada situasi di mana Anda ingin akun tidak memiliki kata sandi, mungkin beberapa akun layanan atau semacamnya, tetapi ini tidak ada ada hubungannya dengan membuat akun lebih aman dan semuanya berkaitan dengan kepraktisan, kemudahan, dan/atau fungsionalitas.
PEMBARUAN:Hanya untuk menambahkan bahwa menambahkan kata sandi ketika belum ada seperti yang dijelaskan oleh Serge Ballesta tentu saja akan memperkenalkan sesuatu yang dapat diserang.
Satu-satunya saat saya melihat kebingungan ini muncul adalah di organisasi besar tempat InfoSec mengamanatkan penggunaan alat pengerasan keamanan tertentu. Alat terkadang memiliki persyaratan khusus tentang kekuatan dan rotasi kata sandi, atau mereka memiliki persyaratan untuk memiliki autentikasi kata sandi di sudo.
Ini mengarah pada diskusi canggung tentang "tanpa kata sandi" dan kebingungan tanpa akhir dari manajemen. Untuk lebih jelasnya, saya mencoba mengatakan "otentikasi kata sandi tidak mungkin".
Daripada mendapatkan pengecualian keamanan dari persyaratan sandi, atau menjelaskannya kepada auditor, Anda perlu mengaktifkan autentikasi sandi dan membuat sandi.
Ini umumnya kurang aman, menimbulkan masalah seputar penguncian dan kedaluwarsa yang memengaruhi metode akses yang lebih aman.
Jika Anda memeriksa kebijakan InfoSec perusahaan Anda dan standar yang harus dipatuhi, ini mungkin menjelaskan kebijakan tersebut.