Qual seria o conceito por trás da senha não sendo ecoada no cli

4

Estou curioso para saber por que os caracteres de senha (caracteres especiais) não são ecoados quando fazemos login no sistema por meio de um terminal.

Mas podemos ver os caracteres da senha (caracteres especiais) enquanto fazemos login no sistema via GUI.

A única razão que posso pensar é que o número total de caracteres na minha senha não seria revelado para alguém que está espionando meu sistema / senha.

Alguma sugestão / ides?

    
por Ankit 14.08.2012 / 10:17

4 respostas

3

Uma explicação possível é que os logins de linha de comando existem há muito mais tempo do que as GUIs. Eu acho que os pontos que substituem os caracteres são uma ideia relativamente nova que foi implementada em GUIs. Na linha de comando, no entanto, nada foi mostrado originalmente e permaneceu assim ao longo dos anos.

    
por Kalle Elmér 14.08.2012 / 10:35
1

É muito mais comum que um usuário ou administrador habilite o registro de texto em uma linha de comando, do que o registro de vídeo em uma GUI. Além disso, é muito comum que alguém copie o texto da linha de comando e o disponibilize para pessoas não confiáveis. Por essas razões, seria especialmente ruim que informações sobre a senha de um usuário - especificamente, seu tamanho - fossem mostradas na linha de comando.

Por exemplo, no Ask Ubuntu, muitas vezes pedimos que as pessoas insiram comandos - incluindo comandos iniciados por sudo que solicitam uma senha - e depois copiam todo o conteúdo de um terminal e o adicionam às suas perguntas. Se o terminal mostrasse um * para cada caractere inserido como parte de uma senha, precisaríamos solicitar a remoção manual dessas linhas. Eles podem acidentalmente remover mais, ou não o suficiente, ou podemos nos esquecer de perguntar, ou eles podem não perceber que algum texto que eles disponibilizaram continha uma linha de senha.

Por outro lado, é muito raro pedirmos a alguém para fazer uma captura de tela de vídeo, para que possamos ajudá-lo com o problema, e é raro pedirmos que o faça para qualquer tarefa que inclua uma solicitação de senha gráfica. Se isso fosse comum (ou se quiséssemos que isso se tornasse comum), teríamos que parar de mostrar também caracteres de espaço reservado para senhas inseridas graficamente.

Como um fator secundário, é mais importante que os caracteres do espaço reservado sejam exibidos ao inserir uma senha graficamente:

  1. Os usuários de consoles geralmente esperam que eles sejam capazes de receber entrada de texto; é o tipo de entrada principal e geralmente único que eles recebem diretamente de um usuário. Por outro lado, muitas GUIs não aceitam entradas de teclado ou não aceitam de maneira previsível.

  2. É comum que um programa GUI se recuse a fazer eco na entrada do teclado quando a entrada não puder ser aceita - por exemplo, quando um usuário insere uma letra em uma caixa de texto destinada a receber apenas números. É fácil para os usuários aprenderem que nada é exibido quando eles inserem suas senhas em um console. Provavelmente seria mais difícil para as pessoas se sentirem confortáveis vendo nada enquanto manipulavam uma interface gráfica.

  3. Uma interface gráfica é mais provável do que um console para ter vários elementos de texto separados. A entrada do teclado de eco é importante porque esclarece qual elemento da interface dentro de um programa está recebendo a entrada do teclado. A esse respeito, mostrar estrelas em uma caixa de texto de senha pode até ser um recurso de segurança, pois ajuda o usuário a saber que ele não está digitando acidentalmente a senha em outro lugar.

    (Esse também é um possível problema em um console se o console estiver embutido em uma GUI, mas menos, já que é menos provável que o usuário esteja enganado sobre se está ou não digitando em uma janela de console do que em uma nova janela que acaba de ser mostrado para levar informações de autenticação.)

Se você quiser que asteriscos sejam mostrados enquanto insere sua senha para sudo , você pode adicionar pwfeedback para a lista de opções , separadas na linha Defaults no arquivo sudoers .

    
por Eliah Kagan 12.08.2013 / 01:55
0
Nos velhos tempos, os teclados IBM tinham um ótimo feedback táctil e som clack clack. Você sempre soube quando pressionou uma tecla.

Com teclados modernos, especialmente os de membrana, às vezes você precisa olhar para a tela para confirmar que um pressionamento de tecla foi recebido.

Isso é ainda mais verdadeiro com teclados qwerty touchscreen usando polegares e sem feedback de vibração.

Assim, os espaços reservados para senhas são muito mais importantes agora do que no final dos anos 70, quando eu acho que o Unix ganhou força. Mesmo em 1991, quando o Linux nasceu, eu estava pagando US $ 300 pelo teclado IBM 104 Key com um feedback incrível. Mas logo depois disso, os teclados descartáveis baratos inundaram o mercado.

    
por WinEunuuchs2Unix 15.08.2017 / 01:23
-1

A resposta simples é que quando nós tivemos que ir para um "nó" para acessar um "terminal" em uma sala cheia deles, você tinha que considerar que alguém próximo a você poderia estar assistindo. Meio como copiar sua lição de casa.

Naquela época, a Universidade "cobraria" pelo seu tempo no sistema (não havia dinheiro real envolvido, a menos que você fosse um estudante de graduação com uma bolsa, mas limitava o tempo que os alunos tinham que usar antes de ter que ir pode-eu para obter mais).

Assim surgiu a idéia de hackear as senhas de outras pessoas simplesmente para obter mais tempo no computador.

Isso é semelhante ao que Bill Gates e Paul Allen estavam fazendo quando escreveram o primeiro BASIC para o Altair. Eles se infiltravam à noite e usavam consoles de sistema (sem necessidade de senha) para que pudessem obter tempo do computador para fazer o desenvolvimento de um emulador, em seguida, escrever o seu intérprete e depois digitá-lo em fita de papel. Eles estavam usando teletipos ASR-33 que rodavam a 110 baud.

De volta à situação do nó e os terminais baseados em caracteres CRT não ecoaram em nada, ou talvez tenham ecoado *, a lógica é que é muito mais difícil observar seus dedos no teclado do que lê-lo na tela.

A razão original pela qual a maioria das senhas de login aparecem como asteriscos ou pontos enquanto você digita era para que você saiba que o teclado está funcionando. Quando você andou até um terminal, você nunca soube até que viu a resposta. Muitas vezes a sala estaria cheia de usuários e o terminal em que ninguém estava sentado estava desligado por algum motivo ou outro. Talvez funcione por tempo suficiente para obter seu nome de login e solicitar uma senha e, em seguida, "CP DISCONNECT" (Honeywell 66/40).

Eu me lembro de usar terminais de impressão LA-120 DECwriter em um mainframe da Honeywell na UACN onde depois que você digitasse sua senha (que imprimia no papel) a carruagem voltaria e sobrescrevê-lo algumas vezes com asteriscos e hash mergulhadores de lixo não conseguiram.

A idéia de não ter nenhum eco surgiu para que ninguém possa obter o tamanho da sua senha, o que pode ajudá-los a adivinhá-la. Eles começariam com o nome da sua namorada, ou seu animal de estimação, etc. Ter a duração ajudaria se essa fosse a abordagem deles.

sudo é usado com muito mais freqüência do que logins pessoais, e então você sabe que o teclado está funcionando, então fazia sentido para os desenvolvedores não terem nenhum eco. Se você errar, apenas diz a você e você tenta novamente.

Além disso, sudo requer a senha de root, que é muito mais valiosa para um hacker do que a sua senha de login pessoal.

Eu sei que você escreveu essa pergunta há 5 anos (é agosto de 2017 enquanto digito), mas estou descrevendo o final dos anos 70 e início dos anos 80. Faça as contas. Muitas luas atrás.

Muitas coisas como essa têm uma história rica sobre a qual as pessoas nunca pensam sobre o que escrever ou sobre o que perguntar. Na maioria das vezes, as pessoas não pensam realmente no motivo pelo qual estão fazendo o que estão fazendo. Eles apenas fazem coisas que foram ensinadas, de rotina.

Obrigado por fazer a pergunta do jeito que você fez. É raro chegar a esse tipo de resposta.

Quando comecei a gerar crianças, descobri que sua palavra favorita era "Por quê?" - mas as pessoas não usam muito essa palavra hoje em dia. Por isso, é divertido ter a chance de fazer uma pausa e lembrar os bons e velhos tempos.

É divertido lembrar de todas as coisas que poderíamos fazer com que essas máquinas antigas fossem feitas. Eu mesmo usei esse mesmo gigante para fazer simulações dinâmicas do vento solar afetado pelo campo magnético da Terra e prever onde a magnetopausa era onde ela era mais afetada pelo campo magnético interplanetário, por exemplo, cerca de 80 raios terrestres no lado de trás. Os resultados saíram como grandes parcelas no papel feitas por um Plotter CalComp. O programa levou cerca de 3 horas para ser executado em cada lote.

Também simulou incêndios florestais e como as árvores precisariam de x horas para secar e queimar. Algumas árvores eram combustíveis de 1 hora, 10 horas e 100 horas, dependendo do diâmetro.

Tudo estava em FORTRAN.

Não posso deixar de imaginar o quão rápido seria rodar nesses computadores que temos agora.

Aproveite.

    
por SDsolar 14.08.2017 / 21:27

Tags