大家都知道 sudo 用户密码在 Linux 下使用频率很高，Windows 支持用 PIN 来代替输入密码（仅本地有效，按巨硬说法比普通密码更安全） Linux 貌似不能设置 PIN，那使用 5 位数字做用户密码安全吗？没开 SSH 。
这是 PIN 的文档： https://docs.microsoft.com/zh-cn/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
明早你睡醒了问问自己，5 位数字密码安不安全

内网且没开 ssh，感觉问题不大，有额外密码策略要求的话还是按要求来

解决 sudo 密码的问题很多啊，各种加 PAM 模块就可以解决的
比如用红外面部（ pam_howdy ）、指纹（ pam_fprintd ）、U2F(pam_u2f)、TOTP 一次密码（ pam_oath ）、智能卡证书等等
我见过的最奇特的 PAM 模块是让用户敲击随机的实体键盘按键（不是密码哦），但刚才找了一圈没找到……其实就是认证过程中只要求 human presence （呵呵）
我觉的最方便的是生物识别，其次是 U2F，只要 Yubikey 插着就可以直接解锁，也可以设置必须触碰触点才能解锁，人走一拔就安全了。

个人感觉，PC 的话不确定，服务器的话倒是安全？因为彻底关闭 ssh 以后实际上并没什么被攻击的入口，只能从第三方程序下手，而服务器上部署的服务非常有限，且运维对这些服务有很强的掌控，很清楚每一个服务在干什么。一些广泛使用的服务，即使是开源项目，也是久经检验的，比如 fail2ban 这种。虽然开源项目有恶性事件的记录，但是总的来说还是问题不大

当然不行，深圳*n*大厦的保安大叔我跟他抽烟聊天得知他之前是北京 360 的 IT，你别说五位数，就算 15 位数字轻轻松松进去

sudo 可以设置缓存啊，验证过之后一段时间不需要再验证
还可以设置某个用户 nopasswd，就是不需要密码也可以 sudo，这就和 windows 的 UAC 比较像了
PIN 可以 5 位数字，密码不可以。原因在于 PIN 是基于 TPM 的，会限制重试频率甚至彻底锁死。密码只是 hash （ KDF ）之后储存。有可能被病毒或其他途径获取。获取之后就可以无限重试了。

来个 pam_exec 你想要啥都行

是白天卧底当保安，晚上化身安全大佬吗

又要复杂，又要方便输入，这种需求，我觉得生物识别或便携式加密设备更适合。

如果是 PC 的话，假设别人能接触到物理机，那么直接硬盘拆出来读取完事，sudo 密码有个啥用。对数据安全有要求还是上全盘加密比较好（类似微软文档里说的 BitLocker ），Linux 可以用 dm-crypt 。

宁愿设置 nopasswd，都比设置简单密码靠谱

不暴露公网是有公网 ip 但不公开还是压根没有公网 ip 只能从特定后台登录？
只要有公网 ip 然后 24 小时在线能登录多等些天就一定能看到暴力破解的记录，

你可以用按住 shift 键输入数字键（特殊符号）做密码，这样记忆负担小，只需要记忆数字。

我的密码都是一位数，方便

我的密码两个数字

纯本地的话（自己用），我装完系统第一件事就是配置免密 sudo，