Za prve je to kravina. Novy useri byli i pred 20 lety a taky zijou dodnes. Za druhe. Pokud chteji hvezdicky tak snad kazdej sw dneska generuje pri jednom stlaceni nahodny pocet hvezdicek takze delku nezjistis.
To není úplně pravda. Naopak jsem dlouho nezažil software který generuje náhodný počet hvězdiček. Je to tak trochu anti-ux a nepoužitelné pro běžné usery. Pro uživatele je to zpětná vazba že něco napsal a kolik toho napsal.
Možná že to snižuje bezpečnost ale ten systém používají lidé -- a pro lidi by to mělo být intuitivní a příjemné.
Pro informaci ze se neco zapsalo by stacila i nejaka drobna zmena kurzoru v okamziku vlozeni znaku. Pak nejde poznat pocet znaku, pokud se nedivate celou dobu, to je ale pak lehci asi sledovat a poslouchat klavesnici.
Spíš by bylo na čase konečně ve výchozím nastavení zobrazovat zadávané heslo. Pokud uživatel opravdu musí zadávat heslo s nějakým publikem za zády (které mu určitě nevidí na prsty, že…), ať má možnost si ty hvězdičky zapnout. Nebo aspoň ať se zadaný znak na chvilku objeví a pak se změní na hvězdičku, když má někdo pocit, že by někdo heslo mohl zahlédnout z dálky.
Resp. zrovna u sudo by bylo vůbec nejlepší, kdyby to ve výchozím nastavení heslo vůbec nechtělo. Dá se to změnit v konfiguraci, ale to výchozí nastavení nedává smysl. Vede to jen k tomu, že je heslo náchylnější k prozrazení a uživatel si zvykne psát bez přemýšlení heslo pokaždé, když si o něj někdo řekne.
Nejlepší jsou GUI aplikace, které zobrazí políčko jenom pro heslo, žádný jiný input (a neumožňují jinam přepnout), neumožňují heslo zobrazit a nezobrazí, jaká je aktuálně nastavená klávesnice. Samozřejmě heslo musí obsahovat i speciální znaky a po třech neúspěšných pokusech se účet zamkne.
Ano, právě chování sudo a neexistence Hello mě přinutilo si zjednodušit heslo (a potlačit výchozí komplexitu). UAC od dob W7 se mi jeví prostě jednodušší.
Já jsem to chápal tak, že sudo prostě neprozradí nic, ani délku hesla, což nově tedy ukáže jako počet hvězdiček. Sice to není mnoho, ale dá se tím dost omezit počet pokusů na bruteforce. Ach jo, prokrok nezastavíš… ale je to správný směr?
Rustovité? Když oficiální důvod je soulad s všemi ostatními softwary, co puntíčkují/hvězdičkují, které ani nejsou napsané v Rustu?
A ktore to robia? Login? Nie. Su? Tiez nie. SSH? Taktisto nie. Nenapada mi ziadna konzolova aplikacia, ktora pyta heslo a hviezdickuje.
ted jsem si schvalne nainstaloval ftp (uz to neni ani std. balicek) a vyzkousel - ani ten to nevypisuje (fakt jsem si uz po letech nemohl vzpomenout, jestli jo nebo ne)
Ano, protože většina konzolových aplikací si táhne relikty z 80-90tek (kdy UX bylo neznámé slovo a všeobecně počítače nepoužíval každý). Všechny moderní grafické programy, browsery -- prostě celý grafický stack až na pár mohykánů vždy ukazuje puntíčky. Dokonce některý aplikace umožnují na chvíli to heslo i zobrazit. Osobně bych teda věřil spíš UXákům z Google, Mozilly, KDE, Microsoftu, Apple atd. atd. než programátorovi co programoval login před X lety že ví jak uživatel očekává že se počítač bude používat a jak to je pro něj příjemné aby si nerval vlasy.
"ale dá se tím dost omezit počet pokusů na bruteforce"
To nepomuze temer vubec. Mejme abecedu o k symbolech na generovani hesla. Mejme heslo delky N.
Pak to chce k^N pokusu. To je zrejme.
Kolik pokusu treba pro vsechny delky mensi N? k+k^2+...+k^(N-1)= (k^N-k)/(k-1).
To je stale jen o neco vice nez 1/k pokusu oproti delce N. Takze je to zanedbatelne.
A mimo to bruteforcovat sudo? To nekdo dela?
Jako mě na tom zaráží to, že to bude default a opt-out a ne naopak. Toto upřímně nechápu, trochu mi to připomíná praktiky MS.
Mě by hvězdičky vyhovovaly víc než jen psát heslo a nic nevidět. Stejně nikdy nepíšu před publikem a zpětná vazba se při psaní hodí.
Však jako možnost by to bylo v pořádku, ať si to kdokoliv na základě svého zralého uvážení klidně zapne. Ale udělat z toho výchozí nastavení je z hlediska bezpečnosti krok zpátky se sporným přínosem.
Mně to připadá logické. (Když si teda odmyslím, že je nelogické vyžadovat v dané situaci znovu heslo.) Default je to, co je obvyklé a uživatelé jsou na to zvyklí z jiných aplikací. A když někdo chce to, na co je zvyklý z dřívějška, může si to zapnout.
Ono už jen to, že uslyším stisk 14 kláves a uvidím devět hvězdiček dá tušit, že pět znaků (1., 3., 5., 7. a 9.) jsou velká písmena...