Разработчики инсталлятора Anaconda приняли (https://bugzilla.redhat.com/show_bug.cgi?id=958608) решение уйти от общепризнанной практики скрытия вводимого пароля в процессе его набора, когда вместо вводимых символов отображаются звёздочки. В Fedora 19 в процессе задания пароля на этапе установки введённые данные будут отображаться в открытом виде. С одной стороны такой подход позволяет избежать ошибок в процессе задания пароля (например, использование не того регистра или раскладки), но с другой стороны вводимый пароль может быть подсмотрен потенциальным злоумышленником.По мнению (http://www.out-law.com/page-10152) Брюса Шнайера (http://ru.wikipedia.org/wiki/%D0%A8%D0%B... одного из самых известных экспертов по компьютерной безопасности, пренебрежение безопасностью в пользу удобства работы является неоправданным шагом. Озабоченность по поводу внесённых в Anaconda изменений также проявляют (http://lists.fedoraproject.org/pipermail/devel/2013-May/thre... многие пользователи и разработчики дистрибутива.
URL: http://it.slashdot.org/story/13/05/04/1248242/fedora-19-to-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=36863
Т.е. опцией они это реализовать не могут. Надо обязательно из крайности в крайность?
> Т.е. опцией они это реализовать не могут. Надо обязательно из крайности в крайность?Какая опция в инсталляторе? :-)
Галочка "Показать пароль".
Возможно, правильней сделать для поля ввода пароля не только выбор "показывать введенные символы"/"скрывать введенные символы", но еще сделать опции "скрывать число введенных символов", "скрывать текущий регистр", "скрывать текущую раскладку" (но, наверное, последние 2 пункта - уже перебор).
Ну тогда уже не в виде галочки, а как общесистемную настройку. И если в инсталляторе при вводе пароля поменял, то сделать выбранные настройки дефолтными в той системе.
> Ну тогда уже не в виде галочки, а как общесистемную настройку. И
> если в инсталляторе при вводе пароля поменял, то сделать выбранные настройки
> дефолтными в той системе._Задавать_ пароль и _авторизоваться_ по нему - это две большие разницы.
Ошибка при авторизации практически не критична, по сравнению с ошибкой при задании.
Если в вашей системе не используется ldap, то пароль любого пользователя "ломается" на раз, простым редактированием файла /etc/shadow . Учётные данные пользователя root по политике безопасности всегда хранятся в этом файле и их ldap каталога не берутся, если, конечно, не изменить поведение pam.Это всё конечно осуществимо, если у вас не шифрованная файловая система.
В любом другом случае пароль, повторюсь, ломается на раз.
В некоторых дистрибутивах ничего и не нужно, кроме возможности передать ядру параметры "init=/bin/sh rw"
Для этого нужен физический доступ к компьютеру. И если он есть, то тут уже говорить и не о чем.
> Для этого нужен физический доступ к компьютеру. И если он есть, то
> тут уже говорить и не о чем."Ты не поверишь, чувачило....." (С)
> Если в вашей системе не используется ldap, то пароль любого пользователя "ломается" на раз, простым редактированием файла /etc/shadowА теперь объясните это "простому пользователю"™.
Вам не приходила в голову такая простая мысль, что "ломать" пароль при наличии доступа в /etc/shadow или к загрузчику уже несколько поздно?
> Если в вашей системе не используется ldap...Чем же ldap в плане безопасности превосходит /etc/shadow, кроме того, что он обычно на другой машине? Керберос или токены, вроде бы, выглядят безопаснее.
То, что вы написали - не аргумент.
Как остроумно отметил г-н angra, ломать пароль при доступе к /etc/shadow "немного поздно", как, впрочем, и при административном доступе к ldap.
Специально для тех, кто любит, чтобы было побольше всяких настроечек. Можно еще добавить выбор символа маскировки (кружки или звездочки) и опцию временного отображения последнего введенного символа с возможностью задать время задержки.
Вы забыли - выбор звокового и рекламного ролик
И интегрировать в Systemd обязательно.
> И интегрировать в Systemd обязательно.Нужен отдельный демон stard для замены пароля на звездочки в режиме реального времени.
>> И интегрировать в Systemd обязательно.
> Нужен отдельный демон stard для замены пароля на звездочки в режиме реального
> времени.asteriskd
…скрывать само поле ввода, скрывать всё окно, гасить монитор, форматировать винт…
> Галочка "Показать пароль".ЭТО СЛИШКОМ СЛОЖНО ДЛЯ ПОЛЬЗОВАТЕЛЯ
>> Галочка "Показать пароль".
> ЭТО СЛИШКОМ СЛОЖНО ДЛЯ ПОЛЬЗОВАТЕЛЯМожет того, гильотинный бизнес открыть? Башкой пользоваться, видимо, тоже сложно :(
> Может того, гильотинный бизнес открыть? Башкой пользоваться, видимо, тоже сложно :(Важно не потерять тонкую грань, за которой "думать при работе с системой" переходит в "трахаться с системой даже там, где это совершенно необязательно". Гентушники, например, считают эти понятия синонимами.
> Галочка "Показать пароль".В Windows 8 и IE10 в любых полях для ввода паролей есть специальная кнопка в виде глаза, которая при зажатии кнопки позволяет "подсмотреть" введённый пароль. Это как один из вариантов решения. В вебе тоже такое решение встречал.
> Т.е. опцией они это реализовать не могут. Надо обязательно из крайности в крайность?Реализация этого опцией, afaik, запатентована мелкософтом.
они запaтентовали галку "показать пороль" или "скрыть пороль"?
> они запaтентовали галку "показать пороль" или "скрыть пороль"?Возможность опционального отображения пароля.
> Реализация этого опцией, afaik, запатентована мелкософтом.Когда же, наконец, всякие м**ки перестанут патентовать очевидные вещи.
Когда я еще юзал федоры/мадривы/аспы скрытие пароля разражало, ибо при выборе локали во время установки раскладка клавиатуры на этапе ввода пароля может оказаться и не LAT. Лучше бы они индикатор раскладки добавили хотя бы на этом этапе. И "озабоченности" бы не пришлось высказывать по поводу безопасности, и пароль предсказуемо вводится.
+1
ну в 19 бете пароль показывается до тех пор пока не вводишь его повторно :) если честно сначала подумал что анаконда глюкавит....
У меня в пароле частенько есть латинская "y". Поскольку используется английская и немецкая раскладка, то не факт что наберу правильный пароль правильно с первого раза - эта буква может оказаться не на том месте. У французов говорят схожая проблема. Про знаки препинания вообще промолчу. Но это, мне кажется, не оправдывает показа паролей открытым текстом.
> не оправдывает показа паролей открытым текстомесли кто-то может подсмотреть пароль на экране, то что ему мешает подсмотреть пальцы на клаве? тем более, когда вводишь дважды одно и то же.
Скрытие пароля ещё актуально на сайтах или в скайпах, потому что можно, скажем, зайти на сайт/скайп с айпада в метро или с ноута в инет-кафе.
При инсталляции ОС скрытие пароля - бред. Хотя для параноиков, которые не уверены, что они одни в своём кабинете, или боятся, что жена только и ждёт рутового доступа к будущей ОС, или верят в прочие привидения, нужно сделать галочку "скрывать пароль".
О какой-такой безопасности в Скайпе Вы говорите? Вендовая версия уже "научилась" не показывать, сколько соединений под выбранной учёткой и из каких мест. Типа, "удобство" - на надо ломать голову, не забыл ли скайп разлогинить на работе (или дома). ага-ага. Для хомячков самое оно...
> если кто-то может подсмотреть пароль на экране, то что ему мешает подсмотреть пальцы на
> клаве? тем более, когда вводишь дважды одно и то же.Подсмотреть на экране достаточно одного взгляда. Считать по движению рук на клаве это ой как непросто. Вот наберу я "сорок тысяч обезьян разом скушало банан" за 5 секунд - да кто такое разберет на клаве, разве только по видеозаписи в замедленной развертке
> При инсталляции ОС скрытие пароля - бред. Хотя для параноиков, которые не уверены, что
> они одни в своём кабинете, или боятся, что жена только и ждёт рутового доступа к будущей
> ОС, или верят в прочие привидения, нужно сделать галочку "скрывать пароль".Пароль может высветиться, например, в консоли виртуальной машины или удаленного com-терминала. Можно, конечно, спорить что пароль может утечь и каким либо другим способом все равно, но зачем добровольно открывать еще один канал утечки? Раз уж ворюги могут в форточку пролезть, то зачем дверь держать запертой - увы, но я с этим не согласен.
> Подсмотреть на экране достаточно одного взгляда. Считать по движению рук на клаве
> это ой как непросто. Вот наберу я "сорок тысяч обезьян разом
> скушало банан" за 5 секунд - да кто такое разберет на
> клаве, разве только по видеозаписи в замедленной разверткеЕсли посчитать длительность взгляда, за который можно прочитать и запомнить пароль "сорок тысяч обезьян разом скушало банан", получится отнюдь не полсекунды. Нужно очень долго и упорно стоять над душой и пыриться в экран.
> Раз уж ворюги могут в форточку пролезть, то зачем дверь держать
> запертой - увы, но я с этим не согласен.Ничтожно малая вероятность того, что злохакеры будут стоять за плечом именно в момент инсталляции системы превращает эту "дверь" в "вентиляционную щель шириной 0.5 см".
Вот если бы пароль показывался при каждой авторизации - тогда да.
"Галочку" или ещё чего точно надо оставить. Зачем отпугивать от fedorы нормальных людей. Вообще говоря, пароль для того и скрывают, что-бы его никто кроме владельца не знал.
> "Галочку" или ещё чего точно надо оставить.И платить мелкософту патентные отчисления?
> Зачем отпугивать от fedorы нормальных людей.
Чтобы не отставать от ubuntu?
> Вообще говоря, пароль для того и скрывают, что-бы его никто кроме владельца не знал.
В инсталляторе он вводится только один (ну ладно, два раза). А при входе по нему в систему, он скрывается как и раньше.
альтернативный вариант как в андроиде оптимальней, имхо
Какое еще подтверждение ввода пароля? Не, не слышал.
> Какое еще подтверждение ввода пароля? Не, не слышал.А оно точно поможет от переключенного капса/раскладки/etc?
>> Какое еще подтверждение ввода пароля? Не, не слышал.
> А оно точно поможет от переключенного капса/раскладки/etc?оно ещё и от механических опечаток не спасает ни разу. при быстром наборе вероятность одинаково опечататься два раза достаточно велика, а дурацкие кружочки на вид все одинаковые.
скоро этот девелопмент тулз от ред хата совсем уйдет со сцены!
Тогда другим дистрам будет неоткуда копипаст^Wразвиваться, и они тоже уйдут со сцены.
Какая кавайная новость. :3
Следующим шагом должен быть отказ от ввода пароля.
Ну а чего, пользователям трудно запоминать пароли.
> Следующим шагом должен быть отказ от ввода пароля.
> Ну а чего, пользователям трудно запоминать пароли.А дядечкам в погонах тоже профит - не надо оформлять бумажки для доступа к твоей системе. :)
>> Следующим шагом должен быть отказ от ввода пароля.
>> Ну а чего, пользователям трудно запоминать пароли.
> А дядечкам в погонах тоже профит - не надо оформлять бумажки для
> доступа к твоей системе. :)Хотя можно заменить ввод пароля регистрацией токена. Это же просто рай для копирастов - можно будет невозбранно брать роялити с любой ОС! :) Причину можно любую придумать...
Будут сканировать сетчатку глаза и отпечаток пальца?
> Следующим шагом должен быть отказ от ввода пароля.
> Ну а чего, пользователям трудно запоминать пароли.Пароли бывают разные.
http://xkcd.com/936/
> По мнению Брюса Шнайера...Вообще-то Шнайер сначала поддержал призыв Якова Нильсена прекратить скрытие паролей. После он смягчил свою позицию, написав что скрытие паролей имеет определенный смысл, но угроза подсмотра вводимого пароля все равно преувеличена.
https://www.schneier.com/blog/archives/2009/07/the_pros_and_...
Вообще говоря, где-то Шнайер прав был "тогда". Мне кажется, что бОльшей проблемой, чем "подсмотрели пароль из-за уха", является брутфорс.
А отсутствие визуальной обратной связи при вводе пароля напрочь отбивает желание делать его устойчивым к брутфорсу.
Раньше Шнайер ошибался.
> Раньше Шнайер ошибался.Раньше Акелла промахнулся.
> Раньше Шнайер ошибался.Ну да, эксперт по безопасности с мировым именем ошибается, но семиклассник-троечник Вася, пишущий из-под анонима, вовремя указал на эту ошибку!
Только не кидайтесь помидорами, но в последнем оффтопике в местах создания пароля появился значок "глаз". При наведении мышки на него (hover), поле ввода паролей заменяет звездочки на символы, а когда убираешь мышь - возвращает звезды. Почему бы не сделать похожую по смыслу функцию везде (там где нет мыши - использовать сочетание определенных клавишей)...p.s. оффтопик - зло :)
> Только не кидайтесь помидорами, но в последнем оффтопике в местах создания пароля
> появился значок "глаз". При наведении мышки на него (hover), поле ввода
> паролей заменяет звездочки на символы, а когда убираешь мышь - возвращает
> звезды. Почему бы не сделать похожую по смыслу функцию везде (там
> где нет мыши - использовать сочетание определенных клавишей)...
> p.s. оффтопик - зло :)Лучше галочкой, правда.
интересно. думаю в Майкросовтском патенте (который по-любому найдётся на эту тему) -- наверняка в каком-нибудь запутаном стиле изложено какое-нибудь там примечание, типа:"вместо пиктограммы глаза -- может быть использована любая другая пиктограмма, например галочка"
и
"вместо события наведения манипутяора мышь на пиктограмму -- может использоваться любое другое событие, например события щелчка по пиктограмме"
и ещё парочку примечаний каких-нибудь...
вобщем как не крути патент не нарушить не получится..
<sarcasm>в Майкрософте же такие умные изобретатели!!</sarcasm>
> Только не кидайтесь помидорами, но в последнем оффтопике в местах создания пароля
> появился значок "глаз". При наведении мышки на него (hover), поле ввода
> паролей заменяет звездочки на символы, а когда убираешь мышь - возвращает
> звезды. Почему бы не сделать похожую по смыслу функцию везде (там
> где нет мыши - использовать сочетание определенных клавишей)...
> p.s. оффтопик - зло :)Оно же навярняка запатентовано! Вы хотите, чтобы снова 235 патентов M$ нарушалось? Хотя может быть и больше - они могли не только "глаз" запатентовать, но и наведение мышки на него...
Видеокамера (удобно в часах, есть такие гаджеты) ненавязчиво смотрящая на клавиатуру (и не надо монитор палить, смущать юзера). По просмотру видео легко восстанавливаются любые комбы введённые с клавы. Поэтому вывод паролей на экран мало чего изменит в безопасности решения.
А кто-то вводит пароль и смотрит, что ввёл? Пароль же "на пальцах" всегда.P.S. "инстяллятор"
> А кто-то вводит пароль и смотрит, что ввёл? Пароль же "на пальцах"
> всегда.
> P.S. "инстяллятор"У вас один пароль на все случаи жизни? Сочувствую вашим работодателям.
Главных Редакторов настораживает слишком большой уровень озобоченности читателей темой не скрытия символов при вводе пароля с клавиатуры. Такая ситуация означает, что читатели слишком озабочены частными вопросами безопасности, в то время как абсолютное решение задачи обеспечения безопасности носит системный характер, и до сих пор не найдено.
При постановке задачи обеспечения безопасности, редко когда указывается чьей безопасности и ради чего.
открытый пароль при установке означает, что система скомпрометирована при первой загрузке, ну не гадать же, так это или нет.
> При постановке задачи обеспечения безопасности, редко когда указывается чьей безопасности и ради чего.очевидно - безопасности самой системы, и теперь при установке придется накидывать на установщика и систему проверенные на наличие прорех (в рамках системного характера) бушлат/одеяло.
Прав был один уважаемый всеми дядька ("Федора уже не та")
> Fedora уходит от практики скрытия ввода пароля в интерфейсе инстяллятораНе может быть! Да как они.. !! Дааа..
в Федоре починили все проблемы, довели юзабилити до идеала, навернули "нескучный" стиль, и теперь решили взяться за ввод паролей в инсталлере? Вот где людям делать нехер, ей-богу.
Так есть большие боссы, которые говорят - "Хочу вот такую хренотень. Запилить немедленно".
Не забывайте, что сейчас начальство совсем пpифyeлo и везде вешают камеры,
не работа, а реалити-шоу. И в отличии от супер-пупер кодовых замков
трафик между камерой и хранилищем редко у кого шифруется, у большинства,
это вообще RAW поток, что только упрощает снимать инфу, даже не вклиниваясь в провод,
просто сверху навесить ЭМИ-сниферок.
это вы сейчаз намекаете на то что -- на камеру записываются последовательности нажатий на клавиши клавиатуры?или намекаете на то что -- записывается экран монитора?
Монитор конечно. Вот у нас, в офисе размером 4x4 м., висят аж 5 камер. :facepalm:
> Монитор конечно.а клавиатуру почему тогда не записывают?
а можно поинтересоваться, где павлинуксы работают?
Можно, разрешаю.
> Можно, разрешаю.много благодарен
ну что я могу сказать......своими идеями Fedora как обычно доказывает что имеет право называться передовым дистрибутивом..
проблема Федоры -- только лишь в качестве софта (количестве глюков в софте). :)
хотя мне кажется что неLTS Убунта -- содержит в себе программы примерно такого же говнокачества как и в Федоре. так что Федора не слишком уж выделяется по говнокачеству.
# P.S.: правда я как-то не очень понимаю зачем ради этих звёздочек -- было создавать аж целую новость :-)
Заголовок исправьте, - инстЯЛЛЯтора ;)
>общепризнанной практикиЭто бредовая практика. Создавать аккаунт, сидя в общественном месте, и без того очень плохая идея. И злоумышленники с феноменальной памятью или макрообъективами не самая большая проблема в этом случае. Разумеется, если пароль короткий или легко запоминающийся, то любой дурак его сможет подсмотреть, но ставить такие пароли бессмысленно, поэтому у нас, естественно будет сложный пароль из совершенно случайного набора букв, цифр и символов, длиной не менее 12 символов. Но сразу его запомнить мы не сможем, ведь иначе - это плохой пароль, поэтому мы его запишем на листочек и положим в карман, чтобы потом вызубрить в свободное время, когда-нибудь... Учитывая, что чуть ли не каждый сраный сайт в интернете требует регистрацию с паролем, то со временем у нас появится большой такой листок или файл на рабочем столе со всеми сложными паролями и указанием к чему они подходят, или будет один пароль для всех сайтов в голове. Но, звёздочки нас, разумеется, спасут, не бойтесь.
И снова вынужден запостить ссылку на самое толковое руководоство по созданию паролей, которое я когда-либо видел: http://xkcd.com/936
Лучше бы занимались оптимизацией.
Одно непонятно, а повторять-то тогда зачем?
Чтобы проверить правильность ввода задуманного пароля.
Параноики
На самом деле самая лучшая практика добавить опцию отображать или нет пароль. А пользователь пусть сам решает как ему лучше!
Неужели нельзя сделать галочку "Показывать пароль"? Я сделал подборку скриншотов инсталляторов дистрибутивов Linux, если кому-нибудь интересно.Вот установка Fedora: http://www.oracle-base.com/articles/linux/fedora-17-installa...
Предупреждение Fedora о простом пароле, которая тем не менее позволяет это сделать: http://prefetch.net/images/fedora-weak-root-password.png
Установка Ubuntu: http://www.emdadblog.com/complete-tutorial-on-how-to-install...
Установка openSUSE: http://opensuse-guide.org/installation.php
Установка Mageia: http://zoomerhammerball.sytes.net/wiki/index.php/Mageia_2_In...
И конечно же рекомендую посмотреть ссылку подробностей.
Это маразм. До того как вводить пароль надо задать имя пользователя, оно не скрывается и прекрасно видно какая раскладка и в каком регистре на данный момент. Даже ни один сайт "для блондинок" не показывает вводимый пароль, а в инсталяторе Fedora вот "озаботились о пользователе" чтоб не злился понапрасну при установке.
Да на самом деле, имхо, большой разницы нет. Если кто-то озабочен вопросом неподглядывания пароля, а тут его заставляют вводить в открытом виде - неужели не хватит ума ввести что-то типа '123' (ну или зигзагом по клавишам пройтись, чтоб визуально не запоминалось, а набиралось легко) и первым делом после входа сменить на нормальный? Или в нынешних Федорах нельзя потом сменить пароль? ))
> Это маразм. До того как вводить пароль надо задать имя пользователя, оно
> не скрывается и прекрасно видно какая раскладка и в каком регистре
> на данный момент.Не пытайтесь рассуждать о том, чего не видели. В анаконде эти вопросы задаются на разных стадиях установщика.
Как минимум в прошивках DD-WRT скрытие пароля на Wi-Fi точно реализовано галкой. Может, и патентов нет никаких на данный способ.
При вводе пароля надо скрывать клавиатуру!
Совет от параноиков: Стикер на месте ввода пароля заменяет галочку Скрыть пароль -)
У некоторых все оптимально, например, вводишь пароль, и последний введенный символ виден какое то время, а потом становится звездочкой. Это позволяет увидеть, но не позволяет запомнить пароль, тому то стоит рядом. Собственно чтобы, что то запомнить на это надо больше секунды. А так человек пароль не запомнит символ видно не больше секунды, да и еще не видно целиком, что усложняет запоминание пароля.P.S. Принципы работы краткосрочной и долгосрочной памяти человека и никакой паранойи
При достаточном объёме практики можно научиться запоминать чужие пароли во время ввода по нажатым клавишам. Практика и ещё раз практика. Тяжело в Учении легко в Бою.
> У некоторых все оптимально, например, вводишь пароль, и последний введенный символ виден
> какое то время, а потом становится звездочкой. Это позволяет увидеть, но
> не позволяет запомнить пароль, тому то стоит рядом. Собственно чтобы, что
> то запомнить на это надо больше секунды. А так человек пароль
> не запомнит символ видно не больше секунды, да и еще не
> видно целиком, что усложняет запоминание пароля.Это еще в сотках Нокии было реализовано 10 лет назад. БАян.
> P.S. Принципы работы краткосрочной и долгосрочной памяти человека и никакой паранойи
отпечаток пальца или qr код
Инвайт в Федору.
Пёттеринг так и не осилил ввод пароля вслепую?
Ему некогда он системГ погромирует
достаточно было добавить тестовое поле в котором при наборе можно посмотреть: язык, капс, etc
в следующей версии вообще отключат возможность ввода пароля: "Ваш пароль "qwerty". Если вы его забудете, то зайдите на сайте федоры в раздел "Я забыл свой пароль (qwerty)"".
> в следующей версии вообще отключат возможность ввода пароляой, и так уже куча «дистрибутивов» считает, что лучше меня знает, какой мне пароль нужен.
— чо символов так мало? шесть давай, иначе иди в задницу. а чо среди шести ни одной цифры? цифру давай, иначе иди в задницу. а чо…
— через плечо! дорогой «дистрибутив», иди в задницу.
Для таких целей давно придумано отдельное поле "проверить раскладку".
Обычное текстовое поле, не закрытое звездочками.
Это уже вопрос удобства.
> Это уже вопрос удобства.Не совсем - так можно безопасно проверять раскладку, нажат ли caps, num lock.
num lock особенно актуален на нетбуках, где буквы и цифры на одних и тех же кнопках.
Такое ощущение, что уважаемая публика инсталлирует дистрибутивы в людных общедоступных местах. Вот, пока читал посты, пытался вспомнить, были ли в моей практике случаи установки дистрибутива в присутствии кого-либо постороннего. Оказалось - ни разу! Интсалляция дистра - это кухня, на которой работаю я сам. Так какая разница в этом случае - отображается пароль или нет. Мне, например удобнее, чтобы отображался. Ну а для любителей публичных инсталляций, действительно, сделали бы галочку "скрыть вводимые символы". Ведь речь то идет только об Анаконде.
да пусть даже было: какая проблема после первой загрузки сделать passwd в терминале, если уж так сильно нервы расшатаны?
> как это сделано в платформе Androidа Qt, например, тут типа совсем не при чём (да и до Qt это было уже). ну да, интернеты изобрёл лично биллгейтс, Крутые Инновации все только из ведроида.
тьфу.
Казалось бы, есть много дистрибутивов линукса, есть выбор и свобода. Но на самом деле, выбор делается отдельным человеком или группой и это навязывается всем остальным.
