#19258 – дистрибутив предъявляет завышенные требования к паролям

Bug 19258 - дистрибутив предъявляет завышенные требования к паролям

Summary: дистрибутив предъявляет завышенные требования к паролям

Status:	CLOSED FIXED

Alias:	None

Product:	ALT Linux Desktop
Classification:	Distributions
Component:	usability (show other bugs)
Version:	5.0.0
Hardware:	all Linux

Importance:	P2 enhancement
Assignee:	Anton V. Boyarshinov
QA Contact:	Andrey Cherepanov

URL:
Keywords:

Depends on:
Blocks:	19564
	Show dependency tree

Reported:	2009-03-20 14:07 MSK by velifico
Modified:	2009-09-21 10:24 MSD (History)
CC List:	5 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description velifico 2009-03-20 14:07:11 MSK

Не так давно наблюдал за пользователем, который в течение двадцати минут безуспешно пытался сменить пароль, используя различные комбинации букв, цифр, знаков препинания. В итоге пришлось поправить ему passwdqc.conf. Есть, конечно, разные программы наподобие pwgen, но почему пользователь должен что-то выбирать, вместо того, чтобы поставить удобный ему пароль? Может быть, имеет смысл полную блокировку заменить предупреждением о небезопасности простых паролей? Понятно, что иметь сильный пароль - хорошо, но окончательное решение должно быть за пользователем.

Comment 1 Dmitry V. Levin 2009-03-20 14:19:35 MSK

userpasswd не предъявляет никаких требований к паролям, все требования поступают со стороны pam_passwdqc.  Политику безопасности паролей определяет администратор системы с помощью файла /etc/passwdqc.conf

Comment 2 velifico 2009-03-20 15:49:26 MSK

Пожалуй, я был неправ, что повесил баг на пакет, извините.
Создам тогда на дистрибутив.

Comment 3 Slava Semushin 2009-03-20 15:51:50 MSK

(В ответ на комментарий №2)
> Создам тогда на дистрибутив.

Лучше перевесьте, а не плодите новый.

Comment 4 velifico 2009-03-20 16:02:32 MSK

Если это касается политики дистрибутива, может быть сделать галочку в альтераторе или при инсталляции "разрешить использование простых паролей", чтобы не править руками passwdqc.conf? На самом деле, я бы не стал поднимать эту тему, но пользователей раздражает трудность смены пароля.

Comment 5 Alexey Rusakov 2009-03-21 01:39:49 MSK

Увы, присоединяюсь. Знакомых неспециалистов в IT - раздражает.

Comment 6 Mike Lykov 2009-07-11 15:21:05 MSD

сам недавно удивился, насколько сложный пароль требуется от меня, если я меняю свой пароль из-под пользователя. в результате пришлось три раза повторить свой обычный пароль (10 символов), разделив знаками -

Comment 7 Michael Shigorin 2009-09-12 19:45:35 MSD

Дим, если помнишь разговор по дороге на Семёновскую в районе выпуска Server 4.0 -- люди, разделяющие с тобой точку зрения на текущие дефолты pam_passwdqc, всё равно вычитывают код и тем более конфигурацию.  Для всех остальных эта "мера безопасности" компрометирует сама себя, поскольку делается sudo passwd $USER и задаётся пароль вообще без анализа его устойчивости -- либо берётся более другой дистрибутив.

IMHO для обычных применений сейчас десяти знаков и двух классов достаточно.

Comment 8 Anton V. Boyarshinov 2009-09-18 16:36:53 MSD

commit 34cbc7c82bc403c169ea684ca9188e6632f1d302
Author: Anton V. Boyarshinov <boyarsh@altlinux.org>
Date:   Fri Sep 18 16:35:53 2009 +0400

    profiles/pkg/lists/desktop: installer-feature-week-passwd added

Comment 9 velifico 2009-09-20 04:10:45 MSD

(В ответ на комментарий №8)
 
>     profiles/pkg/lists/desktop: installer-feature-week-passwd added

Э... week? Может быть weak?