비밀번호 입력 시 시각적 표시를 완전히 숨기는 설정을 선택할 수 있음
KDE에서는 /etc/sddm.conf.d/hide-password.conf에 ShowPasswordEcho=false 추가 후 재부팅, sudo에서는 /etc/sudoers.d/password-no-visual-echo에 Defaults !pwfeedback 추가,
GNOME에서는 unlockDialog.js 수정 후 set_password_char('') 또는 echo_char=null로 변경 후 재부팅 필요함
비밀번호 표시 문자를 이모지로 바꾸는 것도 가능한지 궁금함
고지연 SSH 연결에서 sudo 입력 시 키 입력이 먹히는지 헷갈린 적이 많았음
VPN과 IAM 인증이 엮여 있어서 새 비밀번호가 적용되었는지조차 불확실했음
이런 상황에서 비밀번호 피드백 기능은 정말 유용할 것 같음. 특히 Red Hat이 이를 채택한다면 더 좋을 것 같음
2004년에 Mandrake Linux를 설치하다가 비밀번호 입력 화면에서 아무 반응이 없어 실패했던 기억이 있음
그때 UI가 달랐다면 훨씬 일찍 리눅스를 썼을 것 같음
비밀번호를 잘못 입력한 걸 중간에 깨닫고 delete 키를 연타하는 일이 너무 많았음
키보드가 불량이라 입력이 확실치 않아, 비밀번호를 텍스트 파일에 쳐서 복사·붙여넣기 했던 적도 있음
보안상 나쁘지만 어깨너머로 보는 사람은 없었음
원격 서버에서는 sudo 비밀번호를 직접 입력하지 말고, nopassword 계정과 공개키 인증을 설정하는 게 낫다고 생각함
커서 깜박임으로 입력 여부를 확인할 수 있으니 완전히 ‘멈춘’ 건 아님
macOS 로그인 화면도 고쳐야 함
비밀번호 입력창이 너무 좁아 긴 비밀번호를 입력해도 피드백이 없음
키보드가 불안정하면 로그인 과정이 매우 짜증남
Capslock을 언어 전환 키로 설정했을 때, 잠금 상태에서 소문자를 입력할 수 없어 재부팅해야 했던 적이 있음
Open Core Legacy Patcher (OCLP) 로 구형 맥에 최신 macOS를 설치했는데, 업그레이드 후 로그인 화면에서 키 입력당 20~30초씩 지연됨
18자 비밀번호 중 13자까지만 표시되어 입력이 멈춘 줄 알았음. 결국 30분 걸려 로그인했음
예전 Lotus 1-2-3처럼 입력할 때마다 다른 기호(예: 상형문자)가 바뀌는 방식이 좋았음
비밀번호 길이는 노출되지만 사용자 입장에서는 입력 피드백이 명확했음
관련 논의는 Security StackExchange에서 볼 수 있음
*** 대신 웃긴 문자열을 출력하는 농담 버전**이 있으면 좋겠음
예: “iloveyouiloveyou”, “12345612345” 같은 가짜 비밀번호가 표시되는 식으로
Lotus Notes처럼 입력할 때마다 상형문자가 바뀌는 것도 재밌을 듯함
다만 이런 방식은 어깨너머로 비밀번호 길이를 세기 쉽게 만들 수 있음
그래도 설치할 수 있다면 바로 써보고 싶음
이 결정은 정말 좋은 변화라고 생각함
처음엔 헷갈리지만 금방 익숙해지고, 현실적으로 보안에 큰 영향은 없음
하지만 망원경, 전력선 모니터링, 타이밍 공격 같은 고위험 시나리오에서는 여전히 주의가 필요함
아버지의 리눅스 비밀번호가 한 글자라서 원격 지원 중 몰랐던 적이 있음
무음 프롬프트가 그 사실을 숨겨줬지만, 어쨌든 한 글자 비밀번호는 무의미함
예전엔 여러 사람이 한 컴퓨터를 썼고, 비밀번호 길이 노출이 공격에 도움이 되었음
지금은 덜 중요하고, 원하면 여전히 무음 모드로 바꿀 수 있음
화면을 직접 보는 공격자라면 키보드를 보는 게 더 효율적임
결국 보안보다 UX 개선이 더 큰 의미가 있음
키 입력 피드백을 주는 건 좋지만, 단순히 1:1 대응보다는 다른 방식이 더 나을 수도 있음
예를 들어 xsecurelock은 입력 시 선 위의 점이 움직이는 식으로 피드백을 줌
이는 비밀번호 길이를 숨기면서도 입력 감각을 유지함 sudo에서는 Defaults !pwfeedback으로 동일한 효과를 낼 수 있음
현실적으로 물리적 접근 공격이 가능하다면 이미 다른 방법으로 해킹이 가능하므로, 이건 단순한 UX 개선 정도로 봄
짧은 비밀번호를 가진 사람에게는 길이 노출이 더 위험할 수 있음
반대로 입력 길이를 보여주는 게 유용할 때도 있음
잘못된 비밀번호를 입력했을 때 삭제해야 할 문자 수를 알 수 없어서 답답했는데, 이 기능이 그 문제를 해결함
새 동작을 옵션으로만 제공했어도 충분했을 것 같음
기본값을 바꾸면 스트리밍 중 sudo 입력 시 비밀번호 길이가 노출될 수 있음
하지만 스트리머는 보통 이런 위험을 알고 있고, 방송 전 루트 셸을 열거나 기능을 끔
게다가 키보드 소리로도 길이를 추정할 수 있음
기본값 변경은 대부분의 사용자에게 도움이 되며, 보안 위험은 미미함
실제로는 로컬 비밀번호와 동일하지 않다면 큰 문제는 아님
게다가 방송 중 sudo를 쓸 일은 드묾
라이브 스트리밍은 특수한 상황이므로, 기본값은 그대로 두는 게 합리적임
접근성 향상을 위해서라면 기본 활성화가 더 낫다고 생각함
누군가 비밀번호를 입력할 때는 뒤돌아주는 문화가 필요함
반대로, 다른 사람 화면에 비밀번호 프롬프트가 보이면 스스로 고개를 돌려야 함
입력할 때마다 / - \ | 같은 회전 문자를 표시하면 입력 피드백을 주면서도 길이를 숨길 수 있을 것 같음
예전에 어떤 소프트웨어(아마 Lotus Notes 계열)가 입력마다 무작위 개수의 별표를 표시했음
삭제 시에도 같은 규칙으로 줄어들어, 입력 피드백은 주되 길이는 혼동시킴
하지만 여전히 사용자에게 혼란을 줄 수 있고 실질적 이득은 없음
공격자가 키보드 소리로 입력 횟수를 세는 것도 가능하므로 큰 차이는 없음
Ubuntu 초보자에게는 오히려 더 헷갈릴 수 있음
IBM Notes 시절에도 이런 “별표 개수 불일치”가 사용자 혼란을 초래했음
sudo가 기본적으로 비밀번호를 숨긴 이유는 공유 터미널과 종이 출력기(tty) 시대의 유산임
예전에는 실제 종이에 입력 내용이 찍혀 남았기 때문에 보안상 숨길 필요가 있었음
또한 당시에는 터미널마다 문자 대체 표시를 위한 제어 시퀀스가 달라서 호환성이 어려웠음
지금은 대부분의 환경에서 문제없고, 1%의 사용자는 설정으로 되돌릴 수 있음
Hacker News 의견들
비밀번호 입력 시 시각적 표시를 완전히 숨기는 설정을 선택할 수 있음
KDE에서는
/etc/sddm.conf.d/hide-password.conf에ShowPasswordEcho=false추가 후 재부팅,sudo에서는/etc/sudoers.d/password-no-visual-echo에Defaults !pwfeedback추가,GNOME에서는
unlockDialog.js수정 후set_password_char('')또는echo_char=null로 변경 후 재부팅 필요함고지연 SSH 연결에서
sudo입력 시 키 입력이 먹히는지 헷갈린 적이 많았음VPN과 IAM 인증이 엮여 있어서 새 비밀번호가 적용되었는지조차 불확실했음
이런 상황에서 비밀번호 피드백 기능은 정말 유용할 것 같음. 특히 Red Hat이 이를 채택한다면 더 좋을 것 같음
그때 UI가 달랐다면 훨씬 일찍 리눅스를 썼을 것 같음
보안상 나쁘지만 어깨너머로 보는 사람은 없었음
sudo비밀번호를 직접 입력하지 말고, nopassword 계정과 공개키 인증을 설정하는 게 낫다고 생각함macOS 로그인 화면도 고쳐야 함
비밀번호 입력창이 너무 좁아 긴 비밀번호를 입력해도 피드백이 없음
키보드가 불안정하면 로그인 과정이 매우 짜증남
18자 비밀번호 중 13자까지만 표시되어 입력이 멈춘 줄 알았음. 결국 30분 걸려 로그인했음
비밀번호 길이는 노출되지만 사용자 입장에서는 입력 피드백이 명확했음
관련 논의는 Security StackExchange에서 볼 수 있음
*** 대신 웃긴 문자열을 출력하는 농담 버전**이 있으면 좋겠음
예: “iloveyouiloveyou”, “12345612345” 같은 가짜 비밀번호가 표시되는 식으로
이 결정은 정말 좋은 변화라고 생각함
처음엔 헷갈리지만 금방 익숙해지고, 현실적으로 보안에 큰 영향은 없음
무음 프롬프트가 그 사실을 숨겨줬지만, 어쨌든 한 글자 비밀번호는 무의미함
지금은 덜 중요하고, 원하면 여전히 무음 모드로 바꿀 수 있음
결국 보안보다 UX 개선이 더 큰 의미가 있음
키 입력 피드백을 주는 건 좋지만, 단순히 1:1 대응보다는 다른 방식이 더 나을 수도 있음
예를 들어 xsecurelock은 입력 시 선 위의 점이 움직이는 식으로 피드백을 줌
이는 비밀번호 길이를 숨기면서도 입력 감각을 유지함
sudo에서는Defaults !pwfeedback으로 동일한 효과를 낼 수 있음현실적으로 물리적 접근 공격이 가능하다면 이미 다른 방법으로 해킹이 가능하므로, 이건 단순한 UX 개선 정도로 봄
잘못된 비밀번호를 입력했을 때 삭제해야 할 문자 수를 알 수 없어서 답답했는데, 이 기능이 그 문제를 해결함
새 동작을 옵션으로만 제공했어도 충분했을 것 같음
기본값을 바꾸면 스트리밍 중
sudo입력 시 비밀번호 길이가 노출될 수 있음게다가 키보드 소리로도 길이를 추정할 수 있음
게다가 방송 중
sudo를 쓸 일은 드묾누군가 비밀번호를 입력할 때는 뒤돌아주는 문화가 필요함
반대로, 다른 사람 화면에 비밀번호 프롬프트가 보이면 스스로 고개를 돌려야 함
입력할 때마다
/ - \ |같은 회전 문자를 표시하면 입력 피드백을 주면서도 길이를 숨길 수 있을 것 같음삭제 시에도 같은 규칙으로 줄어들어, 입력 피드백은 주되 길이는 혼동시킴
sudo가 기본적으로 비밀번호를 숨긴 이유는 공유 터미널과 종이 출력기(tty) 시대의 유산임예전에는 실제 종이에 입력 내용이 찍혀 남았기 때문에 보안상 숨길 필요가 있었음
지금은 대부분의 환경에서 문제없고, 1%의 사용자는 설정으로 되돌릴 수 있음