パスワードを忘れた? アカウント作成
8722067 story
セキュリティ

Fedora 19、パスワード作成画面の確認フィールドでパスワードがマスクされない 113

ストーリー by headless
●●●●●●●●●●● 部門より
Fedora 19アルファ版のパスワード作成画面では、確認入力フィールドでパスワードがマスクされず、そのまま表示されるという。ただし、表示されるのは確認入力フィールドにフォーカスがある場合のみで、別のフィールドにフォーカスが移動するとマスクされるそうだ(Red Hat BugzillaのバグリポートFedora開発者向けメーリングリストのアーカイブ本家/.)。

Anacondaの開発者、Chris Lumens氏のバグリポートに対する回答によると、この動作はバグではなく意図したものだという。このような動作は採用例が増えており、パスワードをマスクしてもキーボード上の指の動きを見られてしまえば意味がないなどとしている。また、パスワードを表示することでキーボードレイアウト関連の問題を回避することもできるとのこと。これに対し、Fedoraコミュニティーの開発者向けメーリングリストでは、セキュリティーリスクを懸念する意見も多く出ているようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by 90 (35300) on 2013年05月05日 17時48分 (#2375634) 日記

    最近のMicrosoftのパスワード入力欄って黒電話みたいな目玉マークが付いてて、そこを押してる間は全部表示されるようになってますよね。同じでは。

    • by denchu (6847) on 2013年05月05日 18時42分 (#2375664)

      パスワードを(入力時に)マスクしなければならないセキュリティリスクって、CUI 時代の echo から来ているんじゃないかと勝手に思っています。
      これだと、入力した文字をマスクしないとスクロールで判明してしまうから問題なんでしょうけど、GUI 時代だとパスワードをマスクするのって弊害しか思いつかないのですよね。

      入力文字をマスクしなくなれば漢字をパスワードに使うのも容易になるし、便利だと思うんですけどね。

      #関係無いけどパスワードを貼り付けさせないウェブサイトは滅びれば良いと思う。

      親コメント
      • by haginov (32812) on 2013年05月06日 11時40分 (#2375918) 日記
        > #関係無いけどパスワードを貼り付けさせないウェブサイトは滅びれば良いと思う。

        ホント、滅びるべき。
        パスワードを覚えていないで管理ツールを使って管理しているんだけど、管理ツールからうまい具合に入力させられない場合貼り付けることになる。そこで貼り付けられないようになっていると、長くて難しい文字列をキーボード入力しなきゃならなくなる。そのサイトを使いたくなくなるレベルだな。

        貼り付けを禁止するとセキュリティが向上する場合があるんだろうか?
        親コメント
      • マスクは後ろから覗かれるの防止ですね。目玉マークは最後の一文字が表示されてる時間があると入力中ずっと見ればわかるというのへの対策で、たぶん周囲を確認してから押すっていうアイディア。

        親コメント
      • by Anonymous Coward on 2013年05月05日 18時48分 (#2375667)
        > 入力文字をマスクしなくなれば漢字をパスワードに使うのも容易になるし

        それだとIMEがパスワードを覚えてしまったりして困るんですよねぇ。
        Androidの出来の悪いアプリだと、パスワードフィールドでもIMEがONになってたりしてイライラします。
        親コメント
      • by Anonymous Coward on 2013年05月05日 19時36分 (#2375691)

        スクショを収集するウイルス/クラックもあるので、一概に弊害しかないと言うのは言い過ぎでは?
        個人的には表示、非表示切り替えられるのが一番だと思う。

        親コメント
        • by Anonymous Coward on 2013年05月05日 21時30分 (#2375732)

          ウイルスが入り込んでいる前提ならキーロガーも入ってますねw
          マスクの必要性の議論を乗っ取られている環境ですべきでは無いでしょう

          親コメント
    • by Anonymous Coward on 2013年05月05日 22時37分 (#2375758)

      選択もなしでパスワード全開にするFedoraとは
      逆でしょう

      親コメント
  • by Anonymous Coward on 2013年05月05日 18時29分 (#2375659)

    > パスワードをマスクしてもキーボード上の指の動きを見られてしまえば意味がないなどとしている。

    パスワードを設定するときは、キーを押したふりやBSキー、DELキーを使って、フェイクを入れています。
    文章打ってる最中に打ち間違いが多いように見えるのは、それを悟られないようにする為です。

  • 1.英数字オンリーではなく、各国語(日本なら漢字・ひらがな・カタカナ)の使用も可能にすれば憶えやすいし、セキュリティも向上する可能性あり
    2.家で使う分にはマスクなんて必要ないから、使い勝手のよさから言ってマスクオフを選べるようにすべき
    3.スマフォも増えてることだし、ワンタイムパスワードアプリと連動させて

  • by tatsushi (87) on 2013年05月05日 18時21分 (#2375653) ホームページ 日記

    iPhoneも入力したばかりの1文字はしばらく表示されてますね。
    次の文字を入力するか数秒経つと●表示に置き換えられる。
    タッチ、フリック入力だと入力ミスが増えそうなので確認しやすくて良いです。
    10キーで入力するガラケーの時は即マスクだったんですが、数字はともかく大文字小文字混じりの英字入力は苦痛でした。

    • by dodekapod (37752) on 2013年05月05日 18時55分 (#2375674) ホームページ 日記

      無線LANのキーを入力するのがすごく苦痛でした。
      ただでさえ打ち間違えやすいのに…。
      ぶっちゃけマスクいらない。

      --
      しろうと考え
      親コメント
    • by flied onion (36971) on 2013年05月06日 2時28分 (#2375833) 日記
      あれは苦肉の策だと思ってます。
      あまりに入力ミスが多かったんじゃないですかね?

      セキュリティ的には外で使う事が多いのに、ショルダースルーどうするの?って思います。

      # ガラケーで英字パスワード大変なのはたしかに。
      # 押し間違いがほとんどないので苦痛という程ではないけれど。私が普段ガラケーでも英字よく打ってたからですかね。
      # 記号が入ると無理ゲーに。
      --
      # yes, fly. no, fry.
      親コメント
  • パスワードをマスクしてもキーボード上の指の動きを見られてしまえば意味がない

    指の動きを隠しても、画面上に表示したパスワードを見られてしまえば意味がない。

  • by gogogo (34402) on 2013年05月05日 21時09分 (#2375717)
    はやく身体的な特徴を使った認証に切り替わって欲しい
  • 他のプログラムに画面を見られるのも嫌だな
    そういう点からは、マスクされてるのがデフォは、
    漠然と安心出来る気はする
    --
    -- LightSpeed-J
  • 新仕様、旧仕様どちらでも使えるようにして、設定で切り替えられるようにするとか。

    --
    ぽぇんぷしゅう。
    • by Anonymous Coward on 2013年05月06日 5時46分 (#2375856)

      ログイン時というのは(当然ながら)ユーザー別の設定が無効になっている時点なので微妙なのですよ。
      ユーザーが使っているキーボードレイアウトとシステム既定のキーボードレイアウトが違うと記号をパスワードに使っているときハマるとか。
      設定じゃなくて、Windows 8のようにその場にパスワード表示ボタンでもつけておくべきでしょう。

      親コメント
  • by Anonymous Coward on 2013年05月05日 19時41分 (#2375696)

    いろいろ波紋を呼びそうなのですが

    NUmLockが入っていたりCapsLockが入っていたりして
    システムにログインできないユーザからの問い合わせ
    などには大変ユウリです。

  • by Anonymous Coward on 2013年05月06日 3時08分 (#2375840)

    なんていうか理解出来ないのだけど、ソーシャル的な手法は身の回りの注意で済むでしょ?
    パスワード打つ時は周りに注意する、それだけ。

    それすら出来ないユーザがいるのが問題って?
    そんな基礎的な注意すら出来ない人は、大体の場合まともなパスワードを設定してなかったり、付箋にパスワード書いてたりするので無意味。
    セキュリティに気を遣え! とか周知来てるけど、離席する時のPCロックすら、ちゃんとしてる人全然いないし。離席したらPC操作し放題。セキュリティ舐めてんじゃねぇ、と。

    結局、根本的な問題はリテラシの部分でしょ。
    パスワードは他人に知られない様注意して打て、ってだけ。
    パスワード隠すより、他に実装すべきフールプルーフは他にいくらでもあるでしょ。
    というか、そこまでセキュリティに気を遣うシーンなら生体認証併用しろ。
    部屋の入室とか、既にそうなってるじゃん?

    カメラがクラックされて云々とか、トロイにスクリーンショット取られて云々とか、もはやそりゃあ別の問題でしょ。
    画面が映る様な場所にカメラを置くな、どうしようもないならパスワード入力時に体を射線に入れろ、トロイはセキュリティソフトをちゃんと入れて対処しろ。

  • by Anonymous Coward on 2013年05月06日 7時26分 (#2375868)

    路上で裸に成る人がいるから
    みなさん服を着ないで下さい理論と名づけよう。

  • 80-90年代の映画やアニメでは
    画面上で入力したパスワードが丸見えでしたが、あれはちゃんと未来を見越したものだったんですね。
  • Google+のハングアウトみたいにスクリーンキャストする事も少なくない時代ですし
    設定が簡単に変えられるようになるといいですね

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...