Cela dépend vraiment de ce que vous appelez comptes sans mot de passe . Un compte avec un mot de passe vide dans la base de données de mots de passe (normalement /etc/shadow) est hautement non sécurisé car n'importe qui peut l'utiliser. D'autre part, un mot de passe impossible à faire correspondre comme * dans la même base de données empêche quiconque de se connecter avec ce compte car aucun mot de passe ne pourrait jamais donner un tel hachage. Dans ce dernier cas, l'ajout d'un mot de passe est tout simplement inutile et réduit en fait la sécurité du compte car il pourrait être brutalement forcé.
Votre compréhension est correcte.
À mon avis, il n'y a aucun avantage en matière de sécurité à ne pas avoir de mot de passe lorsque vous avez la possibilité d'en avoir un. Avoir une couche d'authentification pour un utilisateur sera presque toujours plus sûr que de ne pas l'avoir. Même si /etc/shadow est exposé, un attaquant devra toujours découvrir et récupérer/forcer brutalement le mot de passe.
Il peut y avoir des situations où vous voulez qu'un compte n'ait pas de mot de passe, peut-être un compte de service ou quelque chose, mais cela n'a rien à voir avec la sécurisation du compte et tout à voir avec l'aspect pratique, la commodité et/ou la fonctionnalité.
MISE À JOUR :Juste pour ajouter que l'ajout d'un mot de passe alors qu'il n'y en a pas déjà un comme décrit par Serge Ballesta va bien sûr introduire quelque chose qui peut être attaqué.
La seule fois où j'ai vu cette confusion surgir, c'est dans une grande organisation où InfoSec a mandaté l'utilisation d'outils particuliers de renforcement de la sécurité. Les outils ont parfois des exigences spécifiques sur la force et la rotation des mots de passe, ou ils ont des exigences pour avoir une authentification par mot de passe sur sudo.
Cela conduit à la discussion embarrassante de "pas de mot de passe" et à la confusion sans fin de la direction. Pour être clair, j'essaie de dire "l'authentification par mot de passe n'est pas possible".
Plutôt que d'obtenir une exemption de sécurité des exigences de mot de passe, ou de l'expliquer à un auditeur, il devient nécessaire d'activer l'authentification par mot de passe et de créer des mots de passe.
Ceci est généralement moins sécurisé, introduit des problèmes de verrouillage et d'expiration affectant les méthodes d'accès les plus sécurisées.
Si vous vérifiez les politiques InfoSec de votre entreprise et les normes auxquelles elles doivent se conformer, cela pourrait expliquer la politique.