这实际上取决于您所说的无密码帐户。密码数据库（通常是 /etc/shadow）中密码为空的帐户非常不安全，因为任何人都可以使用它。另一方面，*在同一数据库中无法匹配的密码会阻止任何人使用此帐户登录，因为没有密码可以给出这样的哈希值。在后一种情况下，添加密码毫无用处，实际上会降低帐户安全性，因为它可能会被暴力破解。

你的理解是正确的。

在我看来，当您可以选择拥有密码时，没有密码没有安全优势。为用户提供一层身份验证几乎总是比没有它更安全。即使 /etc/shadow 被暴露，攻击者仍然需要从中发现和检索/暴力破解密码。

在某些情况下，您确实希望帐户没有密码，可能是某个服务帐户或其他东西，但这与使帐户更安全无关，而是与实用性、便利性和/或功能性有关。

更新：只需添加一个密码，当没有密码时，正如Serge Ballesta所描述的那样，当然会引入一些可以被攻击的东西。

我唯一一次看到这种混乱出现是在一个大型组织中，InfoSec 要求使用特定的安全强化工具。这些工具有时会对密码强度和轮换有特定要求，或者它们需要在 sudo 上进行密码验证。

这导致了“无密码”的尴尬讨论和管理层的无尽困惑。为了清楚起见，我试着说“密码验证是不可能的”。

与其获得密码要求的安全豁免，或向审计员解释，不如启用密码身份验证并创建密码。

这通常不太安全，引入了锁定和过期问题，影响更安全的访问方法。

如果您检查您公司的信息安全政策和他们需要遵守的标准，它可能会解释该政策。