Principal destaque da última atualização, o Raspberry Pi OS removeu usuário padrão para impedir ataques de força bruta.
Uma atualização para o Raspberry Pi OS Bullseye removeu o usuário padrão ‘pi’ para dificultar a localização e o comprometimento de dispositivos Raspberry Pi expostos à Internet usando credenciais padrão.
Raspberry Pi OS removeu usuário padrão para impedir ataques de força bruta
Sim. O Raspberry Pi OS removeu usuário padrão para impedir ataques de força bruta.
A partir desta versão mais recente, ao instalar o sistema operacional, você será solicitado a criar uma conta escolhendo um nome de usuário e uma senha (antes dessa alteração, o instalador do sistema operacional solicitaria apenas uma senha personalizada).
Você não pode mais pular esta etapa, pois o assistente de configuração será iniciado ao inicializar o dispositivo pela primeira vez (anteriormente, você poderia clicar em Cancelar para usar as credenciais padrão de pi/framboesa).
Embora você ainda possa optar por usar um nome de usuário ‘pi’ e ‘raspberry’ como sua senha, você será avisado de que não é uma escolha sábia.
“Não estamos eliminando o usuário ‘pi’ em instalações existentes. Não estamos impedindo ninguém de inserir ‘pi’ e ‘raspberry’ como nome de usuário e senha em uma nova instalação”, disse Simon Long, engenheiro sênior sênior da Raspberry Pi.
“Tudo o que estamos fazendo é tornar mais fácil para as pessoas que se preocupam com a segurança não terem um usuário ‘pi’ padrão – o que é algo que as pessoas vêm solicitando há algum tempo.”
Ao inicializar a imagem pela primeira vez, os usuários de imagem do Raspberry Pi OS Lite também serão solicitados a criar uma nova conta por meio de prompts de texto de linha de comando.
Se você deseja executar o Raspberry Pi sem comando, você pode criar o usuário antes de inicializar no sistema operacional definindo um nome de usuário e uma senha na caixa de diálogo Configurações antes de gravar a imagem ou adicionar um arquivo userconf à partição de inicialização contendo um nome de usuário: senha criptografada par.
As instalações existentes não são afetadas por essa alteração. No entanto, os usuários ainda podem alternar para credenciais não padrão atualizando sua imagem existente e executando o comando sudo rename-user.
“Isso não é uma fraqueza tão grande – apenas saber um nome de usuário válido não ajuda muito se alguém quiser invadir seu sistema; eles também precisariam saber sua senha, e você precisaria habilitar alguns forma de acesso remoto em primeiro lugar”, explicou Long.
“Mas, no entanto, isso poderia tornar um ataque de força bruta um pouco mais fácil e, em resposta a isso, alguns países estão introduzindo legislação para proibir qualquer dispositivo conectado à Internet de ter credenciais de login padrão.”
Por exemplo, o Reino Unido quer impor novos regulamentos pedindo que os dispositivos IoT não venham mais com nomes de usuário e senhas padrão, mas, em vez disso, peça aos clientes que escolham credenciais personalizadas, “não reajustáveis para nenhum valor padrão universal de fábrica”.
