I primi passi di chiunque utilizzi Raspberry Pi OS subito dopo il flash del sistema sulla MicroSD, consistono nell'avvio del mini PC e il passaggio per il tool di configurazione iniziale del sistema operativo, che guida l'utente tra le opzioni più comuni come la scelta di un nome utente e di una password di accesso.
In passato questo step poteva essere saltato, generando un utente chiamato "pi" che accede tramite la password "raspberry". Questo utente è presente su tutte le installazioni di Raspberry Pi OS, ma non si è mai trattato di un grande problema per Raspberry utilizzati in ambienti domestici e non esposti su internet. La presenza di un utente di cui tutti conoscono la passowrd spiana tuttavia la strada ai malintenzionati, nel caso in cui protocolli di accesso remoto come SSH siano esposti su internet, magari sulle porte predefinite. Sono infatti proprio le configurazioni predefinite quelle più facili da forzare con attacchi bruteforce.
Con l'ultimo aggiornamento di Raspberry Pi OS bullseye la possibilità di saltare il passaggio di configurazione è stata rimossa. Questo non impedirà agli utenti che vogliono utilizzare "pi" come username e "raspberry" come password di farlo, ma con il nuovo installer sarà necessario inserire i dati a mano e verrà inoltre mostrato un avviso che consiglierà di scegliere un abbinamento diverso nel caso la scelta ricada proprio su queste credenziali.
"non stiamo rimuovendo l'utente 'pi' dalle installazioni già esistenti e non impediremo a nessuno di usare 'pi' e 'raspberry' come nome utente e password per le nuove installazioni, ma stiamo cercando di rendere più facile impostare nomi utente diversi da 'pi' per gli utenti che hanno a cuore la sicurezza. Questa è una funzionalità che ci è stata richiesta da tempo" ha dichiarato Simon Long, Senior Principal Engineer presso raspberry Pi, che ha poi continuato "Questa non è una grande debolezza: conoscere solo un nome utente valido non aiuta molto chi tenta di entrare nel vostro sistema. Dovrebbe anche conoscere la vostra password e dovreste aver abilitato una qualche forma di accesso remoto in primo luogo".
Gli utenti che invece utilizzano il loro Raspberry in configurazioni headless, cioè senza monitor, e che sono abituati a configurare il sistema con l'utility Rasberry Pi Imager prima di effettuare il flash su MicroSD, non noteranno alcuna differenza nel procedimento di configurazione e potranno continuare a lavorare come hanno sempre fatto. Anche l'utility a linea di comando rename-user resta disponibile, sia per le installazioni già esistenti che per le nuove.
