Io uso Ubuntu per il personal computing. Ho letto un consiglio in molte domande qui per avere una password di root strong. Non capisco cosa c'è di sbagliato con una password di root debole. Dopotutto, dobbiamo digitare il numero di volte della password di root, ed è scomodo digitare più volte la password complessa.
Quali possono essere le possibili minacce se utilizzo una password di root non così strong ?
Se hai una password di root debole, e qualsiasi cosa acceda, hai appena perso il tuo PC. Non l'hardware, ma in teoria nemmeno una cancellazione completa del disco seguita da una reinstallazione ti pulirà (ci sono almeno concetti di infettare il firmware, che sarebbe facile con l'accesso root). Più probabilmente - puoi essere infettato da ransomware o diventare parte di botnet. Questo è per i rischi.
Possibili vettori di attacco: sei assolutamente sicuro che ogni programma che usi non abbia assolutamente errori di esecuzione di codice in modalità remota? Sai, ci sono stati bug di esecuzione di codice in modalità remota nel codice di gestione delle immagini. Questo potrebbe ottenere un bot che funziona sul tuo account locale e tenta di decifrare la password di root. Oppure, se si esegue il server SSH, esporlo a Internet e non ha bloccato il login di root (non so se è predefinito in Ubuntu), di quanto chiunque possa provare da remoto.
Avanti: quanto spesso digiti la password di root? Quotidiano? Settimanalmente? Ogni 5 minuti?
Per essere onesti, non dovresti farlo molto spesso. In effetti, è perfettamente possibile usare Ubuntu senza nemmeno avere una password di root. Di default Ubuntu usa sudo . Ciò si aggiunge al problema, poiché ora la tua password ha il valore della password di root.
Modifica:
Ricorda che il fatto che tu non usi programmi server non significa che non siano in esecuzione. Ubuntu (in realtà Debian) ha una politica insana IMHO che ogni volta che si installa un pacchetto in grado di eseguire qualsiasi tipo di server, lo aggiunge allo script di avvio e in realtà esegue il software al momento dell'installazione. È folle, perché esegue il software prima che tu abbia qualche possibilità di configurarlo. Il fatto che non si disponga di un IP statico non è un blocco per gli scanner casuali - in effetti il mio server ottiene più scansioni da ipotesi casuali su IP che dal nome DNS assegnato. Un NAT o un firewall tra te e Internet potrebbe aiutare un po '(a seconda di come è configurato), ma un IP pubblico non statico no. Non è che qualcuno stia cercando di hackerarti in modo specifico. Sono solo robot che analizzano interi intervalli di indirizzi per macchine vulnerabili. Non importa se ti provano all'inizio della gamma o al centro.
Il fatto che tu usi solo programmi open source non ti dice di usare solo programmi sicuri. Open source significa solo che più occhi possono guardare più facilmente il codice. Ciò non significa che più occhi lo guardino veramente, e ciò non significa che gli occhi che notano un bug lo condivideranno e forse lo risolveranno. Mentre la mia opinione personale è che FLOSS è più sicuro del software proprietario, è solo "più sicuro" e non "sempre sicuro".
Usando una password debole stai essenzialmente rinunciando a un livello della difesa in profondità. Se qualcuno può ingannare l'utente nell'esecuzione di qualcosa o ottenere alcuni byte di overflow del buffer da eseguire, sei brindato e l'hai appena reso più semplice, perché una password complessa (root o tua) avrebbe potuto rallentare l'attacco abbastanza che noti qualcosa.
Devi pesare il rischio di perdere tutto ciò che hai su quella macchina e di aprire l'accesso a qualsiasi sito web che usi abitualmente su di esso (meno probabilmente mai usato) contro la tua convenienza.
Dichiarazione di non responsabilità: sono paranoico per scelta.
Le password brevi sono soggette a facilità di navigazione a spalla e forza bruta. Se sei sicuro che tutti i servizi a cui è possibile accedere remotamente sono disattivati, sentiti libero di mantenere una password breve. Inoltre, assicurarsi di non memorizzare informazioni preziose, sensibili o riservate su tale sistema.
Il punto è quello di rendere il tentativo di cracking della password così difficile da comprometterlo, che richiederà probabilmente tempo e risorse sufficienti rispetto al valore delle informazioni memorizzate nel sistema o fino a quando la password non scadrà o verrà modificata. Tuttavia, data la potenza del cloud, ora il forcing brutale è diventato più economico.
P.S .: Mi sono sentito come mettere i commenti come risposta.
Leggi altre domande sui tag passwords password-management