Какова была бы концепция, лежащая в основе пароля, не повторяющегося на cli

Гораздо более распространено то, что пользователь или администратор разрешает ведение журнала текста в командной строке, чем ведение журнала видео в графическом интерфейсе. Кроме того, очень часто кто-то копирует текст из командной строки и делает его доступным для ненадежных лиц. По этим причинам было бы особенно плохо, если бы информация о пароле пользователя, в частности его длина, отображалась в командной строке.

Например, в Ask Ubuntu мы часто просим людей вводить команды - включая команды, начинающиеся с sudo, которые запрашивают пароль, - а затем скопировать все содержимое терминала и добавить его в свои вопросы. Если терминал показал * для каждого символа, введенного как часть пароля, мы должны попросить их вручную удалить эти строки. Они могут случайно удалить больше или недостаточно, или мы можем забыть спросить, или они могут не понимать, что какой-то текст, который они предоставили, содержит строку с паролем.

Напротив, нам очень редко приходится спрашивать кто-то сделает захват видеоэкрана, чтобы мы могли помочь им с их проблемой, и особенно редко, что мы попросим их сделать это для любой задачи, которая включает в себя графическую подсказку пароля. Если этот очень общий (или если мы хотим, чтобы он стал общим), нам также пришлось бы прекратить показывать символы заполнителя для графически введенных паролей.

В качестве второстепенного фактора это более важно, чтобы символы-заполнители отображались при вводе пароля графически:

Пользователи консолей обычно ожидают, что они смогут получать ввод текста; это первичный и обычно единственный вид ввода, который они берут непосредственно у пользователя. Напротив, многие графические интерфейсы не принимают ввод на клавиатуре или не принимают его в качестве предсказуемого. Обычно программа GUI отказывается от эхо-ввода клавиатуры, когда вход не может быть воспринят - например, когда пользователь вводит букву в текстовое поле, предназначенное для приема только чисел. Пользователям легко понять, что ничего не видно, когда они вводят свой пароль в консоли. Скорее всего, людям будет сложно чувствовать себя комфортно, не видя ничего, манипулируя графическим интерфейсом. Графический интерфейс более вероятен, чем консоль, чтобы иметь несколько отдельных текстовых элементов. Эхо ввода клавиатуры важно, поскольку он разъясняет, какой элемент интерфейса внутри программы принимает ввод с клавиатуры. В этом отношении показ звезд в текстовом поле пароля может даже быть функцией безопасности, поскольку он помогает пользователю понять, что они случайно не вводят пароль в другом месте. (Это также потенциальная проблема в консоли, если консоль встроена в графический интерфейс, но тем более, так как пользователь с меньшей вероятностью ошибается в том, набирает ли он или нет в окне консоли, чем в новом окне, которое только что было показано, что он принимает данные аутентификации.)

Если вы хотите, чтобы звездочки отображались при вводе пароля для sudo, вы можете добавить pwfeedback в , -сегментированный список опций на Defaults в файле sudoers.

Еще в старые времена клавиатура IBM имела отличную тактильную обратную связь и громкий звук clackety clack clack. Вы всегда знали, когда нажимаете клавишу.

С современными клавиатурами, особенно с мембранными, вы должны иногда смотреть на экран, чтобы подтвердить, что нажата клавиша.

Это еще более верно с сенсорными клавишами qwerty с большими пальцами и без обратной связи с вибрацией.

Таким образом, заполняющие пароли слова намного важнее, чем в конце 70-х, когда я думаю, что Unix приобрел сцепление. Даже в 1991 году, когда Linux родился, я заплатил 300 долларов за клавиатуру IBM 104 Key с потрясающей обратной связью. Но вскоре после этого дешевые одноразовые клавиатуры затопили рынок.

Простой ответ заключается в том, что назад, когда нам приходилось идти на «узел», чтобы получить доступ к «терминалу» в их комнате, вам пришлось подумать, что кто-то рядом с вами может наблюдать. Например, копирование вашей домашней работы.

Тогда университет будет «взимать плату» за ваше время в системе (не было никаких реальных денег, если бы вы не были аспирантом с грантом, но это ограничивало время ученики должны были использовать, прежде чем приступать к матери, чтобы получить больше).

Таким образом, возникла идея взлома паролей других людей просто для того, чтобы получить больше времени на компьютере.

Это похоже на то, что делали Билл Гейтс и Пол Аллен, когда они написали первый BASIC для Альтаира. Они пробирались ночью и использовали системные консоли (без пароля), чтобы они могли получить компьютерное время для разработки эмулятора, а затем написать свой интерпретатор, а затем пробить его на бумажной ленте. Они использовали телетайпы ASR-33, которые работали на скорости 110 бод.

Вернемся к ситуации с узлом, и терминалы на основе символов CRT не отразили ничего, или, может быть, они отразились *, обоснование заключается в том, что смотреть на пальцы гораздо сложнее, чем читать на экране.

Исходная причина, по которой большинство паролей входа отображаются в виде звездочек или точек при вводе, так что вы знаете, что ваша клавиатура работает. Когда вы подошли к терминалу, вы никогда не знали, пока не увидите, как он реагирует. Часто в комнате было бы полно пользователей, и один терминал, на котором никто не сидел, по какой-то причине был никем. Возможно, он будет работать достаточно долго, чтобы забрать ваше имя для входа и запросить пароль, затем «CP DISCONNECT» сам по себе (Honeywell 66/40).

Я помню, что на терминалах печати DECwriter Мэйнфрейма Honeywell в UACN, где после того, как вы ввели свой пароль (который будет печататься на бумаге), каретка вернется и несколько раз перечеркивает его звездочками и метками, чтобы водолазы не могли его достать.

[d7 ] Идея о том, чтобы не иметь никакого эха, возникла из-за того, что никто не может получить длину вашего пароля, что может помочь им догадаться об этом. Они начнут с имени вашей подруги или вашего питомца и т. Д. Длительность поможет, если это будет их подход.

sudo используется гораздо чаще, чем личные логины, и к тому времени вы знайте, что ваша клавиатура работает, поэтому разработчикам совершенно нечего было слышать. Если вы ошибетесь, это просто скажет вам, и вы попробуете еще раз.

Кроме того, sudo требует пароль root, который гораздо более ценен для хакера, чем ваша личная длина пароля для входа.

Я знаю, что вы написали этот вопрос 5 лет назад (это август 2017 года, когда я печатаю), но я описываю конец 70-х и начало 80-х годов. Делай математику. Много лун назад.

Много таких вещей имеют богатую историю, о которой люди никогда не думают писать или даже спрашивать. Большую часть времени люди действительно не думают о том, почему они делают то, что делают. Они просто учат тому, чему их учили.

Спасибо, что задал вопрос так, как вы это делали. Редко можно получить такой ответ.

Когда я начал проворачивать детей, я обнаружил, что их любимое слово было «Почему?» - но люди не очень сильно используют это слово в наши дни. Так что это весело, чтобы получить шанс передохнуть и вспомнить старые добрые времена.

Приятно помнить все, что мы могли бы сделать, чтобы эти старые машины могли делать. Я сам использовал тот же самый бегемот, чтобы динамические симуляции солнечного ветра были затронуты магнитным полем Земли и предсказывали, где магнитопауза была там, где на нее больше воздействовало межпланетное магнитное поле около 80 земных радиусов на обратной стороне. Результаты вышли в виде больших участков на бумаге, выполненных CalComp Plotter. Для каждого сюжета программа заняла около 3 часов.

Также имитируются лесные пожары и то, как деревья нуждаются в количестве часов, чтобы высохнуть и сжечь. Некоторые деревья были 1-часовым топливом, примерно 10-часовым и 100-часовым и т. Д., В зависимости от их диаметра.

Все было в ФОРТРАНЕ.

Я не могу не задаться вопросом, как быстро он будет работать на этих компьютерах, которые у нас есть сейчас.

Наслаждайтесь.