LINUX.ORG.RU

Fedora 19 перестала закрывать пароли звёздочками

 


0

1

http://www.xakep.ru/post/60562/default.asp?utm_source=dlvr.it&utm_medium=...

В инсталляторе Anakonda последней альфа-версии Linux-дистрибутива Fedora 19 разработчики внедрили новую функцию: теперь в окошке ввода пароля, которое находится в фокусе, пароль не закрывается звёздочками во время набора, а отображается на экране открытым текстом. Если поле фокуса убрать, тогда пароль закрывается звёздочками.

Это не баг, а именно функция, которую разработчики специально внедрили в интерфейс для повышения удобства.

Некоторые специалисты по безопасности считают, что закрывать пароли звёздочками не имеет смысла, потому что злоумышленник может смотреть не на экран, а на клавиатуру в процессе ввода пароля. То есть закрытие пароля звёздочками во время набора не повышает безопасность, а только снижает удобство использования интерфейса, порождая проблемы с неправильной раскладкой клваиатуры, нажатым CapsLock и т.д.

Схема с отказом от закрытия пароля звёздочками якобы всё чаще используется в современных интерфейсах. Такой совет разработчикам интерфейсов в 2009 году дал даже известный специалист по ИТ-безопасности Брюс Шнайер. Тот пост в его блоге собрал более 160 комментариев, породив бурную дискуссию. Позже Брюс Шнайер признал, что «вероятно, ошибся». Тем не менее, идея пошла в массы.

Сторонники закрытия пароля звёздочками говорят, что отследить нажатия на клавиатуре зачастую бывает сложнее, чем прочитать пароль на экране. Таким образом, демонстрация секретных символов открытым текстом всё-таки снижает безопасность. Кроме того, поле ввода пароля может оказаться в фокусе случайно, что приведёт к нечаянной демонстрации пароля.

★★

А по-моему удобно. Особенно если не параноик. =)

ArturK ()
Ответ на: комментарий от ArturK

это решается галочкой «отображать символы»

Reset ★★★★★ ()

Интересная фича. Мне нравится.

пост в его блоге собрал более 160 комментариев, породив бурную дискуссию

160 «каментов» - это бурная дискуссия? Как-то меркнет на фоне ЛОРовских тредов...

Igorrr ★★★★ ()

Сторонники закрытия пароля звёздочками говорят, что отследить нажатия на клавиатуре зачастую бывает сложнее, чем прочитать пароль на экране. Таким образом, демонстрация секретных символов открытым текстом всё-таки снижает безопасность. Кроме того, поле ввода пароля может оказаться в фокусе случайно, что приведёт к нечаянной демонстрации пароля.

Всё верно сказали.

</thread>

Sadler ★★★ ()
Ответ на: комментарий от ArturK

Ога, и хакерам меньше геморроя. Уверен, что пост в блоге был проплачен криминальными структурами, а идиоты вроде разработчиков федоры восприняли это за чистую монету и внедрили, но им не привыкать собирать в своем дистрибутиве говно.

Reset ★★★★★ ()

Есть же вариант с показом последнего символа и «запикиванием» предыдущих. И язык с капсом легко отследить и не палится всё сразу.

imul ★★★★★ ()
Ответ на: комментарий от imul

Есть же вариант с показом последнего символа и «запикиванием» предыдущих.

И он читается не хуже открытого пароля, если злоумышленник наблюдает монитор всё время ввода.

Sadler ★★★ ()
Ответ на: комментарий от Reset

Ога, и хакерам меньше геморроя.

У тебя хакеры во время установки тобой ОС над душой стоят? Сочувствую.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Если они это сделали на этапе установки, то где гарантия, что не сделают тоже самое в каком-нибудь gksu ?

Reset ★★★★★ ()
Ответ на: комментарий от Reset

Не, в gksu будет злобно пикать, если нажимаешь неправильную букву.

abraziv_whiskey ★★★★★ ()

Кто-нибудь уже сказал, что федора не нужна?

segfault ★★★★★ ()
Ответ на: комментарий от segfault

Кто-нибудь уже сказал, что федора не нужна?

Это слишком очевидно, чтобы говорить вслух.

AX ★★★★★ ()

Опять дистрибутив подстраивают под пользователей БЕЗ МОЗГА. Доколе!?

FiXer ★★☆☆☆ ()
Ответ на: комментарий от FiXer

Опять дистрибутив подстраивают под пользователей БЕЗ МОЗГА. Доколе!?

Пока их больше, чем всех других вместе взятых. Массовые расстрелы решают.

Sadler ★★★ ()
Ответ на: комментарий от Reset

Если они это сделали на этапе установки, то где гарантия, что не сделают тоже самое в каком-нибудь gksu?

Пожалуй, нигде. Поэтому стоит сходить по ссылкам и высказаться там — всяко больше пользы, чем от гневных комментов здесь.

dexpl ★★★★★ ()
Ответ на: комментарий от Reset

Ога, и хакерам меньше геморроя.
В инсталляторе Anakonda последней альфа-версии Linux-дистрибутива Fedora 19 разработчики

я тебя умоляю, каким хакерам :)

xtraeft ★★☆☆ ()

Fedora 19 перестала закрывать пароли звёздочками

Эта функция теперь доступна только в RHEL.

dogbert ★★★★★ ()

в текстовой версии тоже? А частая смена паролей таки рулит.

PaulCarroty ★★★★ ()

Но зачем? Что такого сложного в звёздчатом виде пароля, который используется повсеместно даже на самых хомяковых сайтах?
Сложно сказать, чего они этим хотели добиться.

Reinar ()

смотреть не на экран, а на клавиатуру в процессе ввода пароля.

Кому нибудь это удавалось? Кроме случаев когда для набора используется не более двух пальцев.

firestarter ★★★☆ ()

Имхо, тупость сделали. Одна дополнительная галочка решила бы все проблемы.

true_admin ★★★★★ ()

Они упоролись.

«Инновационные идеи» теперь и в уютном линуксе?

/me взял лопату и отправился за FreeBSD.

Chaser_Andrey ★★★★★ ()

отследить нажатия на клавиатуре зачастую бывает сложнее, чем прочитать пароль на экране.

Пароль в окне ввода надо отображать не *, а случайными символами, тогда «шпиён» будет запоминать информационный мусор :)

quickquest ★★★★★ ()

А когда уже сделают автодополнение для паролей?

sin_a ★★★★★ ()

порождая проблемы с неправильной раскладкой клваиатуры, нажатым CapsLock и т.д.

для этого делается поле ввода «test keyboard layout».

invy ★★★★★ ()

Неужели нельзя сделать галочку «Показывать пароль»? Я сделал подборку скриншотов инсталляторов дистрибутивов Linux, если кому-нибудь интересно. Вот установка Fedora, предупреждение Fedora о простом пароле, которая тем не менее позволяет это сделать. Установка Ubuntu, а вот установка openSUSE и Mageia. И конечно же рекомендую посмотреть ссылку подробностей.

ZenitharChampion ★★★★★ ()

160 комментариев

Эпический срач

По сабжу: воод пароля вообще не должен отображиться, ни звездочками, ни как

actics ()
Ответ на: комментарий от FiXer

А не без мозга, а для ленивых. Благо, пока что есть святая троица, поэтому Ъ эти проблемы волновать не должны :D

actics ()
Ответ на: комментарий от true_admin

Добавлять функционал не модно, модно его удалять.

Mitre ★★ ()
Ответ на: комментарий от ZenitharChampion

Я сделал подборку скриншотов инсталляторов дистрибутивов Linux,

Обновляй, устарело.

alpha ★★★★★ ()

Всё правильно сделали. ZOG и так умеет читать мысли, а кроме них посторонних наблюдателей у меня в комнате нет.

Nebuchadnezzar ★★★★ ()

Лучше бы совсем не давали пользователю вводить пароль, а генерировали каким-нибудь apg пачку из пяти-шести длиной от 12 до 16 символов, и предлагали выбрать и запомнить.

baka-kun ★★★★★ ()
Ответ на: комментарий от baka-kun

Да, люди бы записывали на стикер и клеили к монитору. :)

imul ★★★★★ ()

Даже при относительно небольшой скорости набора (на уровне 200-250, а пароль ведь руки помнят - он набирается гораздо быстрее) отследить, что происходит на клавиатуре, весьма сложно, даже если довольно внимательно смотреть. А вот то, что получится на мониторе, доступно каждому.

Deleted ()
Ответ на: комментарий от dexpl

Если на этапе установки - фигня (в конце концов, сразу после инсталляции можно поменять пароли православным passwd), но кто гарантирует, что этого не будет при входе в систему или где-либо еще?

// Пользователь федоры, поэтому по-настоящему обеспокоен этим. Если будет неотключаемо и не только в инсталляторе - придется искать замену.

Deleted ()

потому что злоумышленник может смотреть не на экран, а на клавиатуру в процессе ввода пароля.

А зачем пускать домой злоумышленника и позволять ему наблюдать?

emissar ★★ ()
Ответ на: комментарий от Deleted

можно поменять пароли православным passwd

регулярная смена паролей - это азы безопасности.

PaulCarroty ★★★★ ()
Ответ на: комментарий от Deleted

Если на этапе установки - фигня (в конце концов, сразу после инсталляции можно поменять пароли православным passwd), но кто гарантирует, что этого не будет при входе в систему или где-либо еще?

Ровно тот же вопрос звучал в рассылке. Пока еще идет обсуждение, и мое впечатление таково, что это решение будет пересмотрено (как минимум, вынесено на суд FESCo).

// Понимаю, сам такой.

dexpl ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

Они упоролись.

«Инновационные идеи» теперь и в уютном линуксе?

С разморозкой.

Manhunt ★★★★★ ()

Ога, ога. Если пароль из шестнадцати символов сильно на клавиатуру подсмотришь. А вот одного взгляда на экран достаточно, чтобы прочитать те же 16-ть символов.

Deleted ()
Последнее исправление: igor822605 (всего исправлений: 2)

Хм. И часто вы ставите федору 19 на супер-важный сервер, где важно контролировать доступ, в присутствии 100500 чужих людей, пялящихся в ваш экран? Нет? Ну а что тогда?

ekzotech ★★★★ ()

приходится часто пользоваться техподдержкой с удаленкой, светить свои пароли не хочется. тем более что на удаленной тачке можно сделать скриншот и не парится с запоминанием. а вот зхапомнить пароль вводимый с клавиатуры в разы сложнее. если уж так кому то хочется то галочка отобразить пароль решает. в свое время в мандриве можно было настроить количество звездочек при вводе символа. в каком то дистрибутиве давно видел отображение случайных символов.

Отображение пароля ни разу не делает безопасным.

StellzZz ★★ ()

Мдам.. Куда катиться мир! (( Не секьюрно..

Millady ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.