0. Дырка в безопасности это.

Дома у меня вообще автологин.

>В KDE 4 как и в консоли необходимо ручками вводить и имя пользователя и пароль.

4.2

> 1. Раньше в KDE 3 чтобы войти в систему достаточно было как и в Windows XP щёлкнуть на изображении с именем, и ввести пароль.

эмм. ты не поверишь, но в КДЕ4 всегда так и было.

Ник топикстартера подсказывает, что четверокеды он в глаза не видел, и знает о них только со слов мурзика-2.

У меня слева стоит машинка с KDE 4 и там так как я описал. Как мне сделать так, чтобы было «как всегда»?

>Как мне сделать так, чтобы было «как всегда»?
ты не поверишь: настроить. В systemsettings. От рута.

когда окошко встряхивалось, когда я неправильно вводил пароль

GDM

Давайте рассмотрим концепцию, когда для входа в систему достаточно будет ввести лишь пароль, а система сама догадается кто входит.

It's a security h(_O_)le.

>2. В KDE 4 как и в консоли необходимо ручками вводить и имя пользователя и пароль. Но KDE 4 менее гибко, чем консолевский PAM.

ЩИТО?! КДЕ настраивается и вход бес пароля и автологин одним возюканьем мыши за 15 секунд.

Автологин без пароля в консоль — настраивается за за теже 15 секунд. Без ковыряния в ПАМ в принципе.

Идите учите матчасть.

-1. Прикрути pam-face. Заодно будет защита от логина с бодуна.

Галочка «показывать список» стоит, а список не показывается. ЧЯДНТ?

Это и есть натуральный security-hole. Поскольку я легко могу подставить к камере фотографию. С отпечатком пальца тоже самое.

Галочка «показывать список» стоит, а список не показывается. ЧЯДНТ?

kde4-hater

Это месть.

Вход без пароля — глупость и настоящий security hole. Мало кому хочется, чтобы к фотографиям его голой девушки, например, имел доступ любой прохожий.

Отчасти вы правы. На KDE 4 долго смотреть не мог при всём желании. Проприетарный драйвер nvidia для линейки карт 7xxx изрешетил KDE 4 мерцающими чёрными полосами. В Gnome же артефактов не было, поэтому мне пришлось плеваться, но пользоваться Gnome, т.к. дистростроители Debian выкинули KDE 3.

Сначала я стал убегать в консоль, но в конце концов Gnome настолько осточертел, что я избавился от того компьютера на компьютер с карточкой на ATI и драйвером radeon. KDE 4 заработал, но привкус остался. Ведь Gnome и KDE 3 могли работать в тех же условиях.

Так, что батька Stallman оказался прав даже в этом.

0. Дырка в безопасности это.

Аргументы?

>ЧЯДНТ?

используешь тему KDM, в которой нет этого списка. Поставь нормальную тему или выключи темы совсем.

При вводе только пароля уменьшается кол-во возможных комбинаций.

сделай, чтобы твой пользователь уже был выбран, а фокус был на вводе пароля. делается очень легко в настройках. ну или поставь тему kdm, где мышой в пользователя тыкать нужно.

При вводе только пароля уменьшается кол-во возможных комбинаций.

А два пользователя с одинаковыми паролями?

Скачал целых две темы похожих на темы со списком: Bluepe и Bespin. В списке они выделяются как выбранные (то есть после перезагрузки иксов курсор в списке указывает не на первый попавшийся, а на тот, что я выбирал), но при выходе из сеанса ничего не меняется.

>> 0. Дырка в безопасности это.

Аргументы?

Что, если у юзеров совпадают пароли? Давать юзерам знать, что у кого-то такой-же пароль нельзя.

>В списке они выделяются как выбранные но при выходе из сеанса ничего не меняется.

<элементарно, Ватсон>Дистр - убунта?</элементарно, Ватсон>

А что кроме фапа на количество комбинаций это даёт? Давай я вышлю тебе rar со своим паролем, а ты попытаешься его взломать? Эта задача намного более простая, потому что не будет секундных задержек после набора неправильного пароля.

очевидно же! пароли могут быть не уникальны. в отличие от username'ов. если у тебя в системе с двумя пользователями оба установят один и тот же пароль, то кого должна выбрать система?

а проверка пароля на уникальность требует знания паролей других пользователей, что не есть хорошо.

в общем, признай, что твоя идея #0 на самом деле полный ноль, и забудь про неё.

Выше же писал, что Debian. А что это теперь такой desktop style user-friendly: давать пользователю возможность настроить систему, но не реагировать на эти настройки, что вы решили, что дистр — Убунта?

Ответь на вопрос, что проще сломать комбинации логин+пароль или просто пароль?! В общем определись: тебе шашечки или ехать?

очевидно же! пароли могут быть не уникальны. в отличие от username'ов. если у тебя в системе с двумя пользователями оба установят один и тот же пароль, то кого должна выбрать система?

Тебе кажется, что ситуация, когда у всех пользователей пароль 123, которая сложилась с системой user-password удачна? Роберт Моррис ещё в 1988 году показал, что это не так.

а проверка пароля на уникальность требует знания паролей других пользователей, что не есть хорошо.

Разве система сейчас не имеет физической возможности прочитать пароль другого пользователя? Разве они не хранятся в одном файле? Разве John the Ripper не взламывает их сразу все?

>А что это теперь такой desktop style user-friendly: давать пользователю возможность настроить систему, но не реагировать на эти настройки, что вы решили, что дистр — Убунта?

Да нет, просто убунта - мировой лидер по кривизне кед. Обычно.

>Тебе кажется, что ситуация, когда у всех пользователей пароль 123

ССЗБ.

>Разве система сейчас не имеет физической возможности прочитать пароль другого пользователя?

┌[user@localhost ~]
└> cat /etc/shadow
cat: /etc/shadow: Отказано в доступе

когда окошко встряхивалось, когда я неправильно вводил пароль

Mac OS X

Ответь на вопрос, что проще сломать комбинации логин+пароль или просто пароль?! В общем определись: тебе шашечки или ехать?

То есть взломать .rar с моим паролем ты отказываешься? Тем самым показывая, что у тебя есть только лишь теоретические иррациональные опасения, что эта система ненадёжна?

Какая система (user, password) надёжнее?

daemonprz, 321
kde4-hater, 123
, fuck the system

Тебе кажется, что ситуация, когда у всех пользователей пароль 123

ССЗБ.

То есть главное, чтобы система была надёжной, а то, что пользователи вводят пароль 123 — это не важно? Система-то ведь надёжна.

Разве система сейчас не имеет физической возможности прочитать пароль другого пользователя?

cat: /etc/shadow: Отказано в доступе

kde4hater@debian$ sudo cat /etc/shadow
daemon:*:13981:0:99999:7:::
bin:*:13981:0:99999:7:::
sys:*:13981:0:99999:7:::
sync:*:13981:0:99999:7:::
games:*:13981:0:99999:7:::
...

┌[user@localhost ~]
└> sudo cat /etc/shadow 
[sudo] password for user: 
user is not in the sudoers file.  This incident will be reported.

И вообще, возможности рута дырой в безопасности не являются.

rar говно. Иди с ним на винфак.

В первых двух случаях надо угадать логин, а лишь потом пароль, причем критерия истинности логина нет, пока не введешь пароль, следовательно увеличивается время перебора. С паролем все проще и короче.

ЗЫ. Предложи свое ноу-хау в M$ тебя там поддержут и поймут, запатентуют и денег дадут.

Ты сначала пароль рута узнай ;) Трололо

когда окошко встряхивалось, когда я неправильно вводил пароль

Mac OS X

Если то, что ты говоришь правда, то в Apple действительно что-то понимают в UI. Но банальная свобода мне дороже.

да, это правда

причём уже давно

а то, что пользователи вводят пароль 123 — это не важно?

Это можно предотвратить через политики PAM. RTFM.

sudo cat /etc/shadow
daemon:*:13981:0:99999:7:::

sudo без пароля? Это не дыра, это дырища.

Я говорил о том, что «система имеет доступ ко всем паролям всех пользователей». Если бы было что-нибудь вроде аппаратного разделения памяти, когда ты отсылал бы свой login и hash специальному сопроцессору, а он возвращал бы бит успешности, то тогда можно было бы говорить о специальной защищённости.

Может rar и гавно, но я просто не знаю можно ли вводить пароль в gzip. А в rar можно было вводить пароль ещё в DOS. И хоть все и кричали про безопасность, но что-то никто так мне и не продемонстрировал как можно взломать запароленный архив.

К тому же уж тебе так нравится эта дурацкая система username<tab>password<enter> ну так и используй такой пароль, что тебе мешает? А другие люди не будут себе ломать пальцы и думать почему же это правильный пароль не подходит? Ну-ка ещё раз введём. Странно. Вроде правильно ввожу. Ну-ка ещё раз. Ах ты чёрт, опять этот daemonprz входил.

Ну так очистка поля login спасет. А то что вы предлагаете дырища.

У меня вообще login<enter>password<enter>

sudo без пароля? Это не дыра, это дырища.

Забыл изобразить для реалистичности. Конечно же с паролем. Хотя на мой взгляд если кто-то забрался ко мне в учётку, то остальное уже не важно. Всё самое важное для меня имеет права моего пользователя. А все эти /etc, /usr, /var и всю остальную систему можно восстановить очень быстро. Хотя моя система пережила серию последовательных апгрейдов с Debian Sarge и систему переустанавливать я не люблю.

То что я не хочу чтоб видели другие закрывается из под рута полностью. Открывается только сменой прав из под рута. ;)

>> а проверка пароля на уникальность требует знания паролей других пользователей, что не есть хорошо.

Разве система сейчас не имеет физической возможности прочитать пароль другого пользователя? Разве они не хранятся в одном файле?

А даже если можно проверить пароль на уникальность, то что?
«Нельзя выставить пароль <ЯЛюблюАню>, т.к. этот пароль уже используется пользователем Вася»?? Это нормально - раскрыть, что есть другой пользователь с таким же паролем и отказаться задать пароль??

>Роберт Моррис ещё в 1988 году...

поздравляю с разморозкой

а проверка пароля на уникальность требует знания паролей других пользователей, что не есть хорошо.

Разве система сейчас не имеет физической возможности прочитать пароль другого пользователя? Разве они не хранятся в одном файле? Разве John the Ripper не взламывает их сразу все?

досадно, что ты совершенно не понял сути проблемы и ушёл куда-то в сторону. John the Ripper здесь совершенно ни при чём. объясняю на пальцах.

1. ты хочешь организовать аутентификацию пользователя по одному только паролю. из этого следует, что у каждого юзера пароль должен быть уникальным (то есть, отличаться от паролей других юзеров).

2. предположим, у тебя в системе два юзера, и пароли у них разные. один из этих пользователей начинает менять свой пароль с помощью chpasswd и вводит новую фразу, которая соответствует паролю второго пользователя. варианта два: либо нарушается однозначность соответствия пароль->юзер (и один из юзеров теряет возможность входить в систему), либо система должна отказать в смене пароля. voila! мы узнали пароль второго пользователя! никакого Джона зи Риппера даже не понадобилось.

3. аналогичная ситуация возникает и при добавлении нового юзера. система должна проверять его пароль на уникальность.

вопрос сложности паролей не имеет к этому никакого отношения. он совершенно независим.

Ну так очистка поля login спасет.

Зачем мне несколько раз набирать пароль, потом понять, что раньше входил кто-то, кто не является мной, потом перетащить руку к мышке, потом целиться в узкое окно ввода пользователя, потом выделять всё и перетащив руки на клавиатуру жать на <del>, потом вспоминать свой логин, набирать его, потом жать на <tab>, вспоминать свой пароль и вводить его.

Можно для прикола и на перемычках всё это вводить. А чтобы совсем угореть можно сделать крутящуюся ручку такую как в фильмах про ограбление банков показывают. Жаль, что такие не выпускают.

А то что вы предлагаете дырища.

Опять догма?

У меня вообще login<enter>password<enter>

Ну вот. А я бы подбирал ваш пароль так: login<tab>password<enter>. Ведь я уже не раз видел как вы вводили login в других системах. Как вы ловко увеличили безопасность системы с моей идеей. А можно ещё пробел вводить. Тогда уже в 3 раза увеличенная безопасность. Круто да?

Товарищ, из вас выливается поток несвязанного бреда. К тому же вы мышедрочер, нормальные люди вводят логин/пароль только клавиатурой, осуществляя переход между полями клавишами (сочетаниями) <tab>,<shift>-<tab>,<enter>. Моего логина вы не видели. Так что идите дальше фантазировать про свою идею «NULL».

Логин - это не просто дополнительная туева хуча вариантов для брутфорса. В систему смогут попасть просто перебором вариантов из словаря, потому что наверняка найдется какой-нибудь мудак с паролем qwerty. В случае же с логин+пасс нужно будет еще и знать юзернэйм этого мудака.

Собственно про это я ему уже говорил, но наш «изобретатель» категорически не желает понимать, того что ему говорят.

Логин - это не просто дополнительная туева хуча вариантов для брутфорса. В систему смогут попасть просто перебором вариантов из словаря, потому что наверняка найдется какой-нибудь мудак с паролем qwerty. В случае же с логин+пасс нужно будет еще и знать юзернэйм этого мудака.

Опять догмы.

1. Червь Роберта Морриса уже 21 год назад доказал, что ты ошибаешься. Существующая система поощряет наличие паролей qwerty.

2. Сделай

$ cat /etc/passwd

$ users

А секундная задержка после ввода неправильного пароля остановит брутфорс. Ban по IP/терминалу после 50-го увеличит отзывчивость системы.