Dipende davvero da ciò che chiami account senza password . Un account con una password vuota nel database delle password (normalmente /etc/shadow) è altamente insicuro perché chiunque potrebbe usarlo. D'altra parte, una password impossibile da abbinare come * nello stesso database impedisce a chiunque di accedere con questo account perché nessuna password potrebbe mai fornire un tale hash. In quest'ultimo caso, l'aggiunta di una password è semplicemente inutile e riduce effettivamente la sicurezza dell'account perché potrebbe essere forzata.
La tua comprensione è corretta.
A mio avviso, non vi è alcun vantaggio in termini di sicurezza nel non avere una password quando si ha la possibilità di avere una password. Avere un livello di autenticazione per un utente sarà quasi sempre più sicuro che non averlo. Anche se /etc/shadow viene esposto, un utente malintenzionato dovrà comunque scoprire e recuperare/forzare brutalmente la password da esso.
Potrebbero esserci situazioni in cui desideri che un account non abbia una password, forse un account di servizio o qualcosa del genere, ma questo non ha niente ha a che fare con il rendere l'account più sicuro e tutto ciò che ha a che fare con praticità, comodità e/o funzionalità.
AGGIORNAMENTO:Solo per aggiungere che l'aggiunta di una password quando non ce n'è già una come descritto da Serge Ballesta introdurrà ovviamente qualcosa che può essere attaccato.
L'unica volta che ho visto emergere questa confusione è stato in una grande organizzazione in cui InfoSec ha imposto l'uso di particolari strumenti di rafforzamento della sicurezza. Gli strumenti a volte hanno requisiti specifici sulla forza e la rotazione della password, oppure hanno requisiti per avere l'autenticazione della password su sudo.
Ciò porta alla scomoda discussione di "nessuna password" e all'infinita confusione da parte della direzione. Per essere chiari, provo a dire "l'autenticazione tramite password non è possibile".
Piuttosto che ottenere un'esenzione di sicurezza dai requisiti delle password o spiegarlo a un revisore, diventa necessario abilitare l'autenticazione della password e creare password.
Questo è generalmente meno sicuro, introduce problemi relativi a blocchi e scadenza che interessano i metodi di accesso più sicuri.
Se controlli le politiche InfoSec della tua azienda e gli standard che devono rispettare, potresti spiegare la politica.