Bug 19258

Summary: дистрибутив предъявляет завышенные требования к паролям
Product: ALT Linux Desktop Reporter: velifico <velifico>
Component: usabilityAssignee: Anton V. Boyarshinov <boyarsh>
Status: CLOSED FIXED QA Contact: Andrey Cherepanov <cas>
Severity: enhancement    
Priority: P2 CC: combr, erthad, ktirf, mike, php-coder
Version: 5.0.0   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 19564    

Description velifico 2009-03-20 14:07:11 MSK 
Не так давно наблюдал за пользователем, который в течение двадцати минут безуспешно пытался сменить пароль, используя различные комбинации букв, цифр, знаков препинания. В итоге пришлось поправить ему passwdqc.conf. Есть, конечно, разные программы наподобие pwgen, но почему пользователь должен что-то выбирать, вместо того, чтобы поставить удобный ему пароль? Может быть, имеет смысл полную блокировку заменить предупреждением о небезопасности простых паролей? Понятно, что иметь сильный пароль - хорошо, но окончательное решение должно быть за пользователем.
Comment 1 Dmitry V. Levin 2009-03-20 14:19:35 MSK 
userpasswd не предъявляет никаких требований к паролям, все требования поступают со стороны pam_passwdqc.  Политику безопасности паролей определяет администратор системы с помощью файла /etc/passwdqc.conf
Comment 2 velifico 2009-03-20 15:49:26 MSK 
Пожалуй, я был неправ, что повесил баг на пакет, извините.
Создам тогда на дистрибутив.
Comment 3 Slava Semushin 2009-03-20 15:51:50 MSK 
(В ответ на комментарий №2)
> Создам тогда на дистрибутив.

Лучше перевесьте, а не плодите новый.
Comment 4 velifico 2009-03-20 16:02:32 MSK 
Если это касается политики дистрибутива, может быть сделать галочку в альтераторе или при инсталляции "разрешить использование простых паролей", чтобы не править руками passwdqc.conf? На самом деле, я бы не стал поднимать эту тему, но пользователей раздражает трудность смены пароля.
Comment 5 Alexey Rusakov 2009-03-21 01:39:49 MSK 
Увы, присоединяюсь. Знакомых неспециалистов в IT - раздражает.
Comment 6 Mike Lykov 2009-07-11 15:21:05 MSD 
сам недавно удивился, насколько сложный пароль требуется от меня, если я меняю свой пароль из-под пользователя. в результате пришлось три раза повторить свой обычный пароль (10 символов), разделив знаками -
Comment 7 Michael Shigorin 2009-09-12 19:45:35 MSD 
Дим, если помнишь разговор по дороге на Семёновскую в районе выпуска Server 4.0 -- люди, разделяющие с тобой точку зрения на текущие дефолты pam_passwdqc, всё равно вычитывают код и тем более конфигурацию.  Для всех остальных эта "мера безопасности" компрометирует сама себя, поскольку делается sudo passwd $USER и задаётся пароль вообще без анализа его устойчивости -- либо берётся более другой дистрибутив.

IMHO для обычных применений сейчас десяти знаков и двух классов достаточно.
Comment 8 Anton V. Boyarshinov 2009-09-18 16:36:53 MSD 
commit 34cbc7c82bc403c169ea684ca9188e6632f1d302
Author: Anton V. Boyarshinov <boyarsh@altlinux.org>
Date:   Fri Sep 18 16:35:53 2009 +0400

    profiles/pkg/lists/desktop: installer-feature-week-passwd added
Comment 9 velifico 2009-09-20 04:10:45 MSD 
(В ответ на комментарий №8)
 
>     profiles/pkg/lists/desktop: installer-feature-week-passwd added

Э... week? Может быть weak?