パスワードのないアカウントと呼ぶものに大きく依存します .パスワード データベース (通常は /etc/shadow) に空のパスワードを持つアカウントは、誰でも使用できるため、非常に安全ではありません。一方、* のような一致しないパスワード このようなハッシュを与えるパスワードは存在しないため、同じデータベースに誰もこのアカウントでログインできなくなります。後者の場合、パスワードを追加しても役に立たず、ブルート フォース攻撃が行われる可能性があるため、実際にはアカウントのセキュリティが低下します。
あなたの理解は正しいです。
私の見解では、パスワードを持つオプションがある場合、パスワードを持たないことにはセキュリティ上の利点はありません。ユーザーの認証層があると、ほとんどの場合、それがない場合よりも安全になります。 /etc/shadow が公開されたとしても、攻撃者はそこからパスワードを発見して取得/ブルート フォースする必要があります。
アカウントにパスワードを持たせたくない状況があるかもしれません。おそらくサービス アカウントか何かですが、これには何もありません アカウントをより安全にすること、および実用性、利便性、および/または機能性に関係するすべて.
更新:Serge Ballesta が説明したように、まだパスワードがない場合にパスワードを追加すると、もちろん、攻撃される可能性のあるものが導入されます。
この混乱が生じるのを見たのは、InfoSec が特定のセキュリティ強化ツールの使用を義務付けた大規模な組織だけです。ツールには、パスワードの強度とローテーションに関する特定の要件がある場合や、sudo でのパスワード認証が必要な場合があります。
これは、「パスワードなし」というぎこちない議論と、経営陣からの果てしない混乱につながります。明確にするために、「パスワード認証はできません」と言ってみます。
パスワード要件のセキュリティ免除を取得したり、監査人に説明したりするのではなく、パスワード認証を有効にしてパスワードを作成する必要があります。
これは一般的に安全性が低く、より安全なアクセス方法に影響を与えるロックアウトと有効期限に関する問題が発生します。
会社の InfoSec ポリシーと準拠する必要がある基準を確認すると、ポリシーが説明されている可能性があります。