19258 2009-03-20 14:07:11 +0300 дистрибутив предъявляет завышенные требования к паролям 2009-09-21 10:24:35 +0400 1 1 3 Distributions ALT Linux Desktop usability 5.0.0 all Linux CLOSED FIXED P2 enhancement --- 19564 1 velifico boyarsh combr erthad ktirf mike php-coder cas oldest_to_newest 87586 0 velifico 2009-03-20 14:07:11 +0300 Не так давно наблюдал за пользователем, который в течение двадцати минут безуспешно пытался сменить пароль, используя различные комбинации букв, цифр, знаков препинания. В итоге пришлось поправить ему passwdqc.conf. Есть, конечно, разные программы наподобие pwgen, но почему пользователь должен что-то выбирать, вместо того, чтобы поставить удобный ему пароль? Может быть, имеет смысл полную блокировку заменить предупреждением о небезопасности простых паролей? Понятно, что иметь сильный пароль - хорошо, но окончательное решение должно быть за пользователем. 87588 1 ldv 2009-03-20 14:19:35 +0300 userpasswd не предъявляет никаких требований к паролям, все требования поступают со стороны pam_passwdqc. Политику безопасности паролей определяет администратор системы с помощью файла /etc/passwdqc.conf 87591 2 velifico 2009-03-20 15:49:26 +0300 Пожалуй, я был неправ, что повесил баг на пакет, извините. Создам тогда на дистрибутив. 87593 3 php-coder 2009-03-20 15:51:50 +0300 (В ответ на комментарий №2) > Создам тогда на дистрибутив. Лучше перевесьте, а не плодите новый. 87596 4 velifico 2009-03-20 16:02:32 +0300 Если это касается политики дистрибутива, может быть сделать галочку в альтераторе или при инсталляции "разрешить использование простых паролей", чтобы не править руками passwdqc.conf? На самом деле, я бы не стал поднимать эту тему, но пользователей раздражает трудность смены пароля. 87624 5 ktirf 2009-03-21 01:39:49 +0300 Увы, присоединяюсь. Знакомых неспециалистов в IT - раздражает. 94534 6 combr 2009-07-11 15:21:05 +0400 сам недавно удивился, насколько сложный пароль требуется от меня, если я меняю свой пароль из-под пользователя. в результате пришлось три раза повторить свой обычный пароль (10 символов), разделив знаками - 98971 7 mike 2009-09-12 19:45:35 +0400 Дим, если помнишь разговор по дороге на Семёновскую в районе выпуска Server 4.0 -- люди, разделяющие с тобой точку зрения на текущие дефолты pam_passwdqc, всё равно вычитывают код и тем более конфигурацию. Для всех остальных эта "мера безопасности" компрометирует сама себя, поскольку делается sudo passwd $USER и задаётся пароль вообще без анализа его устойчивости -- либо берётся более другой дистрибутив. IMHO для обычных применений сейчас десяти знаков и двух классов достаточно. 99405 8 boyarsh 2009-09-18 16:36:53 +0400 commit 34cbc7c82bc403c169ea684ca9188e6632f1d302 Author: Anton V. Boyarshinov <boyarsh@altlinux.org> Date: Fri Sep 18 16:35:53 2009 +0400 profiles/pkg/lists/desktop: installer-feature-week-passwd added 99549 9 velifico 2009-09-20 04:10:45 +0400 (В ответ на комментарий №8) > profiles/pkg/lists/desktop: installer-feature-week-passwd added Э... week? Может быть weak?