LINUX.ORG.RU
ФорумTalks

Fedora 19 перестала закрывать пароли звёздочками

 


0

1

http://www.xakep.ru/post/60562/default.asp?utm_source=dlvr.it&utm_medium=...

В инсталляторе Anakonda последней альфа-версии Linux-дистрибутива Fedora 19 разработчики внедрили новую функцию: теперь в окошке ввода пароля, которое находится в фокусе, пароль не закрывается звёздочками во время набора, а отображается на экране открытым текстом. Если поле фокуса убрать, тогда пароль закрывается звёздочками.

Это не баг, а именно функция, которую разработчики специально внедрили в интерфейс для повышения удобства.

Некоторые специалисты по безопасности считают, что закрывать пароли звёздочками не имеет смысла, потому что злоумышленник может смотреть не на экран, а на клавиатуру в процессе ввода пароля. То есть закрытие пароля звёздочками во время набора не повышает безопасность, а только снижает удобство использования интерфейса, порождая проблемы с неправильной раскладкой клваиатуры, нажатым CapsLock и т.д.

Схема с отказом от закрытия пароля звёздочками якобы всё чаще используется в современных интерфейсах. Такой совет разработчикам интерфейсов в 2009 году дал даже известный специалист по ИТ-безопасности Брюс Шнайер. Тот пост в его блоге собрал более 160 комментариев, породив бурную дискуссию. Позже Брюс Шнайер признал, что «вероятно, ошибся». Тем не менее, идея пошла в массы.

Сторонники закрытия пароля звёздочками говорят, что отследить нажатия на клавиатуре зачастую бывает сложнее, чем прочитать пароль на экране. Таким образом, демонстрация секретных символов открытым текстом всё-таки снижает безопасность. Кроме того, поле ввода пароля может оказаться в фокусе случайно, что приведёт к нечаянной демонстрации пароля.

★★★★

Последнее исправление: Klymedy (всего исправлений: 1)

Интересная фича. Мне нравится.

пост в его блоге собрал более 160 комментариев, породив бурную дискуссию

160 «каментов» - это бурная дискуссия? Как-то меркнет на фоне ЛОРовских тредов...

Igorrr ★★★★
()

Сторонники закрытия пароля звёздочками говорят, что отследить нажатия на клавиатуре зачастую бывает сложнее, чем прочитать пароль на экране. Таким образом, демонстрация секретных символов открытым текстом всё-таки снижает безопасность. Кроме того, поле ввода пароля может оказаться в фокусе случайно, что приведёт к нечаянной демонстрации пароля.

Всё верно сказали.

</thread>

Sadler ★★★
()
Ответ на: комментарий от ArturK

Ога, и хакерам меньше геморроя. Уверен, что пост в блоге был проплачен криминальными структурами, а идиоты вроде разработчиков федоры восприняли это за чистую монету и внедрили, но им не привыкать собирать в своем дистрибутиве говно.

Reset ★★★★★
()

Есть же вариант с показом последнего символа и «запикиванием» предыдущих. И язык с капсом легко отследить и не палится всё сразу.

imul ★★★★★
()
Ответ на: комментарий от imul

Есть же вариант с показом последнего символа и «запикиванием» предыдущих.

И он читается не хуже открытого пароля, если злоумышленник наблюдает монитор всё время ввода.

Sadler ★★★
()
Ответ на: комментарий от Reset

Ога, и хакерам меньше геморроя.

У тебя хакеры во время установки тобой ОС над душой стоят? Сочувствую.

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

Если они это сделали на этапе установки, то где гарантия, что не сделают тоже самое в каком-нибудь gksu ?

Reset ★★★★★
()
Ответ на: комментарий от Reset

Не, в gksu будет злобно пикать, если нажимаешь неправильную букву.

abraziv_whiskey ★★★★★
()
Ответ на: комментарий от segfault

Кто-нибудь уже сказал, что федора не нужна?

Это слишком очевидно, чтобы говорить вслух.

AX ★★★★★
()
Ответ на: комментарий от FiXer

Опять дистрибутив подстраивают под пользователей БЕЗ МОЗГА. Доколе!?

Пока их больше, чем всех других вместе взятых. Массовые расстрелы решают.

Sadler ★★★
()
Ответ на: комментарий от Reset

Если они это сделали на этапе установки, то где гарантия, что не сделают тоже самое в каком-нибудь gksu?

Пожалуй, нигде. Поэтому стоит сходить по ссылкам и высказаться там — всяко больше пользы, чем от гневных комментов здесь.

dexpl ★★★★★
()
Ответ на: комментарий от Reset

Ога, и хакерам меньше геморроя.
В инсталляторе Anakonda последней альфа-версии Linux-дистрибутива Fedora 19 разработчики

я тебя умоляю, каким хакерам :)

xtraeft ★★☆☆
()

Fedora 19 перестала закрывать пароли звёздочками

Эта функция теперь доступна только в RHEL.

dogbert ★★★★★
()

в текстовой версии тоже? А частая смена паролей таки рулит.

Deleted
()

Но зачем? Что такого сложного в звёздчатом виде пароля, который используется повсеместно даже на самых хомяковых сайтах?
Сложно сказать, чего они этим хотели добиться.

Reinar
()

смотреть не на экран, а на клавиатуру в процессе ввода пароля.

Кому нибудь это удавалось? Кроме случаев когда для набора используется не более двух пальцев.

firestarter ★★★☆
()

Они упоролись.

«Инновационные идеи» теперь и в уютном линуксе?

/me взял лопату и отправился за FreeBSD.

Chaser_Andrey ★★★★★
()

отследить нажатия на клавиатуре зачастую бывает сложнее, чем прочитать пароль на экране.

Пароль в окне ввода надо отображать не *, а случайными символами, тогда «шпиён» будет запоминать информационный мусор :)

quickquest ★★★★★
()

порождая проблемы с неправильной раскладкой клваиатуры, нажатым CapsLock и т.д.

для этого делается поле ввода «test keyboard layout».

invy ★★★★★
()

Неужели нельзя сделать галочку «Показывать пароль»? Я сделал подборку скриншотов инсталляторов дистрибутивов Linux, если кому-нибудь интересно. Вот установка Fedora, предупреждение Fedora о простом пароле, которая тем не менее позволяет это сделать. Установка Ubuntu, а вот установка openSUSE и Mageia. И конечно же рекомендую посмотреть ссылку подробностей.

ZenitharChampion ★★★★★
()

160 комментариев

Эпический срач

По сабжу: воод пароля вообще не должен отображиться, ни звездочками, ни как

actics
()
Ответ на: комментарий от FiXer

А не без мозга, а для ленивых. Благо, пока что есть святая троица, поэтому Ъ эти проблемы волновать не должны :D

actics
()
Ответ на: комментарий от true_admin

Добавлять функционал не модно, модно его удалять.

Mitre ★★
()
Ответ на: комментарий от ZenitharChampion

Я сделал подборку скриншотов инсталляторов дистрибутивов Linux,

Обновляй, устарело.

alpha ★★★★★
()

Федора RIP.

Deleted
()

Всё правильно сделали. ZOG и так умеет читать мысли, а кроме них посторонних наблюдателей у меня в комнате нет.

Nebuchadnezzar ★★★★
()

Лучше бы совсем не давали пользователю вводить пароль, а генерировали каким-нибудь apg пачку из пяти-шести длиной от 12 до 16 символов, и предлагали выбрать и запомнить.

baka-kun ★★★★★
()
Ответ на: комментарий от baka-kun

Да, люди бы записывали на стикер и клеили к монитору. :)

imul ★★★★★
()

Даже при относительно небольшой скорости набора (на уровне 200-250, а пароль ведь руки помнят - он набирается гораздо быстрее) отследить, что происходит на клавиатуре, весьма сложно, даже если довольно внимательно смотреть. А вот то, что получится на мониторе, доступно каждому.

Deleted
()
Ответ на: комментарий от dexpl

Если на этапе установки - фигня (в конце концов, сразу после инсталляции можно поменять пароли православным passwd), но кто гарантирует, что этого не будет при входе в систему или где-либо еще?

// Пользователь федоры, поэтому по-настоящему обеспокоен этим. Если будет неотключаемо и не только в инсталляторе - придется искать замену.

Deleted
()

потому что злоумышленник может смотреть не на экран, а на клавиатуру в процессе ввода пароля.

А зачем пускать домой злоумышленника и позволять ему наблюдать?

emissar ★★
()
Ответ на: комментарий от Deleted

можно поменять пароли православным passwd

регулярная смена паролей - это азы безопасности.

Deleted
()
Ответ на: комментарий от Deleted

Если на этапе установки - фигня (в конце концов, сразу после инсталляции можно поменять пароли православным passwd), но кто гарантирует, что этого не будет при входе в систему или где-либо еще?

Ровно тот же вопрос звучал в рассылке. Пока еще идет обсуждение, и мое впечатление таково, что это решение будет пересмотрено (как минимум, вынесено на суд FESCo).

// Понимаю, сам такой.

dexpl ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Они упоролись.

«Инновационные идеи» теперь и в уютном линуксе?

С разморозкой.

Manhunt ★★★★★
()

Ога, ога. Если пароль из шестнадцати символов сильно на клавиатуру подсмотришь. А вот одного взгляда на экран достаточно, чтобы прочитать те же 16-ть символов.

Deleted
()
Последнее исправление: igor822605 (всего исправлений: 2)

Хм. И часто вы ставите федору 19 на супер-важный сервер, где важно контролировать доступ, в присутствии 100500 чужих людей, пялящихся в ваш экран? Нет? Ну а что тогда?

ekzotech ★★★★
()

приходится часто пользоваться техподдержкой с удаленкой, светить свои пароли не хочется. тем более что на удаленной тачке можно сделать скриншот и не парится с запоминанием. а вот зхапомнить пароль вводимый с клавиатуры в разы сложнее. если уж так кому то хочется то галочка отобразить пароль решает. в свое время в мандриве можно было настроить количество звездочек при вводе символа. в каком то дистрибутиве давно видел отображение случайных символов.

Отображение пароля ни разу не делает безопасным.

StellzZz ★★
()

Мдам.. Куда катиться мир! (( Не секьюрно..

Millady
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.