Il motivo di base (del perché questa è una cattiva idea) è che nessun utente (root, admin o altro) dovrebbe mai avere accesso alla password dell'utente di un altro.
Semplicemente perché la password è un mezzo di autenticazione. Se conosco la password di un altro utente, conosco le sue credenziali (nome utente + password), quindi posso accedere come quell'utente , impersonandolo (o lei).
Qualsiasi azione che eseguo dopo aver effettuato l'accesso come tale utente, l'altro utente sarà ritenuto responsabile. E non è così che dovrebbe funzionare l'autenticazione.
Le azioni possono essere disastrose, come l'eliminazione di un sacco di file importanti, la cancellazione di dischi rigidi, la cancellazione di backup, l'arresto dei piani di energia nucleare, ecc.
O semplicemente illegale. Immagina un istituto bancario in cui io (l'amministratore) ho accesso a tutte le password. Usando la password del cassiere posso ordinare uno spostamento di un milione di dollari dal conto bancario del presidente al conto bancario del lavavetri. Quindi utilizzare la password superiore del cassiere per approvare la transazione. Quindi approvare un assegno dal conto del lavavetri al mio conto bancario offshore.
Poi vado per una lunga vacanza alle Bahamas ...
In tale prospettiva, l'hash delle password e l'uso di file shadow separati possono essere visti come un mezzo per far rispettare questa regola (nessun utente dovrebbe essere in grado di impersonare un altro).
E come ha commentato * di Miral * , c'è l'eccezione su
che, pur consentendo la rappresentazione (e tipi di scarti dell'argomento sopra), mantiene anche un registro del suo uso (quindi cambia le regole in "solo gli amministratori possono impersonare gli altri ma un il registro viene mantenuto ").
* L'esempio della banca probabilmente non era il migliore. In qualsiasi ambiente in cui la sicurezza è cruciale, di solito sono necessari più mezzi di autenticazione e autorizzazione di una sola password.