Какова будет концепция, чтобы пароль не отражался на клиенте?

Одним из возможных объяснений является то, что вход в систему командной строки существует намного дольше, чем GUI. Я думаю, что точки, которые заменяют символы, являются относительно новой идеей, которая была реализована в GUI. В командной строке, однако, изначально ничего не показывалось, и оно оставалось неизменным на протяжении многих лет.

В прежние времена у клавиатур IBM была отличная тактильная обратная связь и громкий глухой стук. Вы всегда знали, когда нажимали клавишу.

В современных клавиатурах, особенно мембранных, иногда приходится смотреть на экран, чтобы подтвердить, что было получено нажатие клавиши.

Это еще более верно для клавиатур с сенсорным экраном, использующих большие пальцы, и без вибрационной обратной связи.

Таким образом, заполнители паролей намного важнее сейчас, чем в конце 70-х, когда я думаю, что Unix набрал обороты. Даже в 1991 году, когда появился Linux, я платил 300 долларов за клавиатуру IBM 104 Key с потрясающими отзывами. Но вскоре после этого дешевые одноразовые клавиатуры наводнили рынок.

Гораздо чаще, когда пользователь или администратор включает запись текста в командной строке, чем запись видео в графическом интерфейсе. Кроме того, очень очень часто, когда кто-то копирует текст из командной строки и делает его доступным для ненадежных лиц. По этим причинам было бы особенно плохо, если бы информация о пароле пользователя, в частности, его длина, отображалась в командной строке.

Например, в Ask Ubuntu мы часто просим людей вводить команды, включая команды, начинающиеся с sudo, которые запрашивают пароль, а затем копировать все содержимое терминала и добавлять его в свои вопросы. Если терминал показывает * для каждого символа, введенного как часть пароля, мы должны были бы попросить их удалить эти строки вручную. Они могут случайно удалить больше или недостаточно, или мы можем забыть спросить, или они могут не понимать, что какой-то текст, который они сделали доступным, содержал строку пароля.

В отличие от этого, мы очень редко просим кого-нибудь сделать снимок экрана с видео, чтобы мы могли помочь им с их проблемой, и особенно редко, когда мы просим его сделать это для любой задачи, которая включает графическое приглашение пароля. Если бы это было общим (или если бы мы хотели, чтобы оно стало общим), нам пришлось бы прекратить показывать символы-заполнители и для графически введенных паролей.

В качестве вторичного фактора более важно, чтобы при вводе пароля графически отображались символы-заполнители:

1. Пользователи консолей обычно ожидают, что они способны принимать ввод текста; это основной и обычно единственный вид ввода, который они получают непосредственно от пользователя. Напротив, многие GUI не принимают ввод с клавиатуры или не воспринимают его как предсказуемый способ.

2. Для программы с графическим интерфейсом обычно отказывается отображать ввод с клавиатуры, когда ввод не может быть принят - например, когда пользователь вводит букву в текстовом поле, предназначенном для приема только цифр. Пользователям легко узнать, что все в порядке, когда они вводят свой пароль в консоли, ничего не появляется. Людям, вероятно, будет сложнее чувствовать себя комфортно, не видя ничего, манипулируя графическим интерфейсом.

3. Графический интерфейс с большей вероятностью, чем консоль, имеет несколько отдельных текстовых элементов. Эхо ввода с клавиатуры важно, потому что оно проясняет, какой элемент интерфейса в программе получает ввод с клавиатуры. В этом отношении показ звездочек в текстовом поле пароля может даже быть функцией безопасности, поскольку помогает пользователю узнать, что он случайно не вводит пароль в другом месте.

   (Это также потенциально проблема в консоли, если консоль встроена в графический интерфейс пользователя, но в меньшей степени, поскольку пользователь с большей вероятностью ошибается, печатая или нет в окне консоли, чем в новом окне. только что было показано, что она принимает аутентификационную информацию.)

Если вы хотите, чтобы при вводе пароля для sudo отображались звездочки , вы можете ] добавить pwfeedback к разделу , списка опций в строке Defaults в файле sudoers .

Простой ответ заключается в том, что когда нам приходилось идти к «узлу», чтобы получить доступ к «терминалу» в одном из них, вы должны были подумать, что кто-то рядом с вами может наблюдать. Вроде как копировать домашнее задание.

Тогда университет «взимал» за ваше время в системе (не было реальных денег, если вы не были аспирантом с грантом, но это ограничивало время, которое студенты должны были использовать, прежде чем уйти в май-я, чтобы получить больше).

Так возникла идея взлома паролей других людей просто для того, чтобы получить больше компьютерного времени.

Это похоже на то, что делали Билл Гейтс и Пол Аллен, когда они писали первый Бейсик для Альтаира. Они пробрались ночью и использовали системные консоли (пароль не нужен), чтобы у них было время, чтобы компьютер занялся разработкой эмулятора, затем написал интерпретатор и набросал его на бумажную ленту. Они использовали телетайпы ASR-33 со скоростью 110 бод.

Возвращаясь к ситуации с узлами, и символьные терминалы CRT ничего не отражали, или, может быть, они повторяли *, обоснование заключается в том, что наблюдать за клавишами на клавиатуре гораздо сложнее, чем читать на ней. экран.

Первоначальная причина, по которой большинство паролей при входе в систему отображаются в виде звездочек или точек при вводе, была такова, что вы знаете, что клавиатура работает. Когда вы подошли к терминалу, вы никогда не знали, пока не увидели, что он отвечает. Часто в комнате было полно пользователей, и один терминал, за которым никто не сидел, по тем или иным причинам не работал. Возможно, он будет работать достаточно долго, чтобы взять ваш логин и запросить пароль, а затем «CP DISCONNECT» сам по себе (Honeywell 66/40).

Я помню, как использовал печатные терминалы LA-120 DECwriter на мэйнфрейме Honeywell в UACN, где после того, как вы набрали свой пароль (который печатался на бумаге), каретка возвращалась и перезаписывала его несколько раз звездочками и хеш-метками, так что дайверы не смогли его достать.

Идея не иметь никакого эха вообще возникла, так что никто не может получить длину вашего пароля, что может помочь им угадать его. Они начнут с имени вашей подруги или вашего питомца и т. Д. Наличие длины поможет, если это их подход.

sudo используется намного чаще, чем персональные логины, и к тому времени вы уже знаете, как работает ваша клавиатура, поэтому разработчикам имело смысл вообще не слышать эхо. Если вы ошиблись, он просто скажет вам, и вы попытаетесь снова.

Кроме того, sudo требуется пароль root, который гораздо более ценен для хакера, чем длина вашего личного логина.

Я знаю, что вы написали этот вопрос 5 лет назад (это я пишу в августе 2017 года), но я описываю конец 70-х и начало 80-х годов. Делай математику. Много лун назад.

У многих подобных вещей богатая история, о которой люди даже не думают писать или даже спрашивать. Большую часть времени люди на самом деле не думают о том, почему они делают то, что делают. Они просто делают то, чему их учили, наизусть.

Спасибо, что задали вопрос, как вы. Редко можно получить такой ответ.

Когда я начал проверять детей, я обнаружил, что их любимое слово было «Почему?» - но люди не очень часто используют это слово в эти дни. Так что интересно получить шанс передохнуть и вспомнить старые добрые времена.

Интересно вспомнить все то, что мы могли заставить делать эти старые машины. Я сам использовал этого же бегемота для динамического моделирования солнечного ветра, на который воздействовало магнитное поле Земли, и для предсказания, где была магнитопауза, где на нее больше влияло межпланетное магнитное поле, например, около 80 радиусов Земли на обратной стороне. Результаты вышли в виде больших графиков на бумаге, сделанных плоттером CalComp. Программа длилась около 3 часов для каждого сюжета.

Также имитировали лесные пожары и то, как деревьям понадобится х количество часов, чтобы высохнуть и сгореть. Некоторые деревья были 1-часовым топливом, некоторые 10-часовым и 100-часовым и т. Д., В зависимости от их диаметра.

Все было на Фортране.

Я не могу не задаться вопросом, насколько быстро он будет работать на этих компьютерах, которые мы сейчас имеем.

Наслаждайтесь.