Ubuntu 26.04 beendet nach 46 Jahren die „stumme sudo-Passworteingabe“

 (pbxscience.com)
13 Punkte von GN⁺ 2026-03-22 | 6 Kommentare | Auf WhatsApp teilen
  • In Ubuntu 26.04 LTS ist beim Ausführen des sudo-Befehls standardmäßig visuelles Feedback mit Sternchen (*) bei jeder Passworteingabe aktiviert
  • Möglich wird dies durch die Einführung von sudo-rs, einer in Rust neu geschriebenen Version von sudo; Canonical übernimmt sie ab Ubuntu 25.10 als Standard-sudo
  • Einige Nutzer widersprachen mit Verweis auf das Risiko der Offenlegung der Passwortlänge, die Entwickler betonen jedoch das geringe Risiko und die Konsistenz mit dem Anmeldebildschirm
  • Wer zum bisherigen Verhalten zurückkehren will, kann Defaults !pwfeedback in die Datei sudoers eintragen; die Änderung greift sofort
  • Die Änderung ist Teil der Systemmodernisierung von Ubuntu 26.04 zusammen mit GNOME 50, Linux-Kernel 7.0 und Rust-basierten coreutils

Die Geschichte der sudo-Passworteingabe

  • 1980 entwickelten Bob Coggeshall und Cliff Spencer an der SUNY Buffalo das erste sudo
    • Terminals wurden damals oft gemeinsam genutzt, und um „Shoulder Surfing“ zu verhindern, wurde jede Eingabe vollständig verborgen
    • Dieses Design blieb danach fast 46 Jahre lang in allen wichtigen Linux-Distributionen erhalten
  • Linux Mint versuchte als Erstes einen Wandel, indem es visuelles Feedback in der eigenen Konfiguration standardmäßig aktivierte
    • Wichtige Distributionen wie Ubuntu hielten jedoch lange an der bisherigen stillen Eingabe fest

sudo-rs und der Wandel bei Ubuntu

  • sudo-rs** ist eine vollständige Neuimplementierung des bisherigen C-basierten sudo in**Rust

    • Canonical ersetzte in Ubuntu 25.10 das Standard-sudo dadurch, aus Nutzersicht blieb das Verhalten jedoch gleich
    • Im Februar 2026 wurde upstream bei sudo-rs ein Patch zusammengeführt, der pwfeedback standardmäßig aktiviert
    • Canonical übernahm dies in die Entwicklungs-Builds von 26.04, was eine Debatte in der Community auslöste
    • Wichtige Zeitleiste
    • 1980: Entwicklung des ursprünglichen sudo, stille Eingabe als Standard
    • Oktober 2025: Einführung von sudo-rs in Ubuntu 25.10
    • Februar 2026: Patch zur Standardaktivierung von pwfeedback zusammengeführt
    • 23. April 2026: Geplante Veröffentlichung von Ubuntu 26.04 LTS mit standardmäßiger Sternchenanzeige

Die beiden Seiten der Sicherheitsdebatte

  • Argumente der Kritiker

    • Durch die Sternchenanzeige wird die Passwortlänge sichtbar, wodurch das bisherige Sicherheitsmodell geschwächt werde
    • Es wurden Bug-Reports eingereicht mit dem Vorwurf, eine „historische Sicherheitsmaßnahme“ werde aufgebrochen

  • Entgegnung der Entwickler

    • Das tatsächliche Risiko durch die Offenlegung der Passwortlänge sei minimal; aus der Nähe ließen sich Tastenanschläge auch über Geräusche oder Handbewegungen abschätzen
    • Bei den meisten Nutzern ist das sudo-Passwort identisch mit dem Login-Passwort, und auf dem Anmeldebildschirm wird dieses bereits mit Punkten dargestellt
    • Den Terminal allein stumm zu halten, sei daher nichts weiter als „Security Theatre“
    • Vergleich im Überblick
Punkt Bisheriges sudo (stumm) sudo-rs + pwfeedback
Visuelles Feedback keines Sternchen bei jeder Eingabe
Offenlegung der Passwortlänge nein ja
Konsistenz mit dem Anmeldebildschirm inkonsistent konsistent
Erfahrung für neue Nutzer verwirrend Eingabe überprüfbar
SSH-Sitzung stumm Sternchenanzeige bleibt erhalten
Wiederherstellung möglich ja (!pwfeedback)

So stellt man das bisherige Verhalten wieder her

  • Mit dem Befehl sudo visudo die Datei sudoers öffnen und die folgende Zeile hinzufügen 
    Defaults !pwfeedback
  • Nach dem Speichern greift die Änderung sofort in neuen Terminal-Sitzungen
  • Ein Neustart des Systems ist nicht erforderlich

Die Modernisierung von Ubuntu 26.04

  • Die Änderung ist Teil der umfassenden Systemmodernisierung von Ubuntu 26.04 LTS „Resolute Raccoon“
    • Dazu gehören GNOME 50 (nur Wayland), Linux-Kernel 7.0 und Rust-basierte coreutils (uutils/coreutils)
    • Canonical stärkt mit der Einführung von Rust die Speichersicherheit und eine moderne User Experience
  • Die Debatte um die Sternchenanzeige in sudo-rs steht sinnbildlich für den Konflikt zwischen traditioneller Unix-Philosophie und moderner UX
    • Nutzer können jederzeit mit einer einzelnen Konfigurationszeile zum bisherigen Verhalten zurückkehren
    • Beim Standardwert fiel die Entscheidung zugunsten der „Mehrheit der Nutzer, die Sternchen bevorzugt, statt Einsteigern einen leeren Bildschirm zuzumuten“
  • Ubuntu 26.04 LTS soll am 23. April 2026 offiziell erscheinen und befindet sich derzeit in Entwicklung
    • Das bisherige Paket sudo-ws ist von der Änderung bei pwfeedback nicht betroffen

Verwandte Beiträge

6 Kommentare

 
sonnet 2026-03-22

Wenn es eine ernsthafte Sicherheitslücke sein soll, dass man aus dem Augenwinkel die Länge erkennen kann, warum werden dann nicht für alle Tastaturen mit Zugriff auf ein Linux-Terminal verpflichtend Sichtschutzabdeckungen eingeführt? Man muss doch nur auf die Tastatur schauen oder mit einer versteckten Kamera aufnehmen, und schon ist es vorbei.
 
ndrgrd 2026-03-22

Wenn man das über die Schulter hinweg sehen kann, sollte man sich eher Sorgen machen, dass man sogar schon die tippenden Finger selbst sehen kann...
Aus dieser Entfernung könnte man auch den Ton aufzeichnen und zählen, wie viele Zeichen eingegeben werden.
Wenn man sich um die Sicherheit an so einem wichtigen Ort so viele Sorgen macht, sollte man eben einen physischen Sicherheitsschlüssel verwenden.
 
yukinpl 2026-03-22

Wenn sich ein Benutzer über das Terminal anmeldet, wird das Passwort nicht angezeigt, und auch bei einer Remote-Verbindung per ssh wird das Passwort nicht offengelegt. Bei sudo, su, passwd, ssh oder der Anmeldung im Terminal wurde das Passwort nie angezeigt. Nur der GUI-Anmeldebildschirm hat es gesondert angezeigt. Durch diese Änderung wird die Konsistenz im Gegenteil noch weiter beeinträchtigt.
 
GN⁺ 2026-03-22
Hacker-News-Kommentare

  • Man kann eine Einstellung wählen, bei der jede visuelle Anzeige bei der Passworteingabe vollständig ausgeblendet wird
    Unter KDE fügt man in /etc/sddm.conf.d/hide-password.conf ShowPasswordEcho=false hinzu und startet neu,
    bei sudo fügt man in /etc/sudoers.d/password-no-visual-echo Defaults !pwfeedback hinzu,
    und unter GNOME muss man unlockDialog.js anpassen und nach dem Ändern auf set_password_char('') oder echo_char=null neu starten

    • Ich frage mich, ob man das Zeichen für die Passwortanzeige auch durch Emojis ersetzen kann

  • Bei sudo über SSH mit hoher Latenz war ich oft unsicher, ob meine Tastenanschläge überhaupt angekommen sind
    Mit VPN und IAM-Authentifizierung war ich mir nicht einmal sicher, ob das neue Passwort bereits aktiv war
    In solchen Situationen wäre Passwort-Feedback wirklich nützlich. Besonders gut wäre es, wenn Red Hat das übernehmen würde

    • Ich erinnere mich daran, 2004 Mandrake Linux installiert zu haben und am Passwortbildschirm gescheitert zu sein, weil scheinbar nichts passierte
      Mit einer anderen UI hätte ich Linux wahrscheinlich viel früher genutzt
    • Ich habe viel zu oft mitten bei der Eingabe gemerkt, dass ich mich vertippt habe, und dann wie wild die Entf-Taste gehämmert
    • Wegen einer defekten Tastatur war ich mir bei der Eingabe manchmal nicht sicher und habe das Passwort in eine Textdatei getippt, um es dann zu kopieren und einzufügen
      Sicherheitstechnisch schlecht, aber niemand konnte mir dabei über die Schulter schauen
    • Auf Remote-Servern sollte man das sudo-Passwort besser gar nicht direkt eingeben, sondern ein nopassword-Konto und Public-Key-Authentifizierung einrichten
    • Am blinkenden Cursor konnte man immerhin erkennen, dass es nicht komplett „eingefroren“ war

  • Auch der macOS-Anmeldebildschirm sollte verbessert werden
    Das Passwortfeld ist viel zu schmal, und bei langen Passwörtern gibt es kein sinnvolles Feedback
    Wenn die Tastatur instabil ist, wird der Login extrem frustrierend

    • Ich hatte einmal Caps Lock als Taste für den Sprachwechsel belegt, konnte im Sperrbildschirm dann aber keine Kleinbuchstaben eingeben und musste neu starten
    • Ich habe mit Open Core Legacy Patcher (OCLP) ein aktuelles macOS auf einem alten Mac installiert, und nach dem Upgrade gab es im Login-Bildschirm 20 bis 30 Sekunden Verzögerung pro Tastendruck
      Von meinem 18-stelligen Passwort wurden nur 13 Zeichen angezeigt, sodass ich dachte, die Eingabe sei hängen geblieben. Am Ende dauerte der Login 30 Minuten
    • Wie bei Lotus 1-2-3 wäre eine Variante gut, bei der sich bei jeder Eingabe ein anderes Symbol ändert, etwa Hieroglyphen
      Die Passwortlänge wäre zwar sichtbar, aber für Nutzer wäre das Eingabe-Feedback klarer
      Eine entsprechende Diskussion gibt es auf Security StackExchange

  • Es wäre schön, eine Scherzversion zu haben, die statt *** lustige Zeichenketten ausgibt
    Zum Beispiel so, dass scheinbare Passwörter wie „iloveyouiloveyou“ oder „12345612345“ angezeigt werden

    • Etwas wie bei Lotus Notes, wo sich bei jeder Eingabe die Hieroglyphen ändern, wäre auch lustig
    • Andererseits würde so etwas das Zählen der Passwortlänge über die Schulter erleichtern
    • Trotzdem würde ich es sofort ausprobieren, wenn man es installieren könnte

  • Ich halte diese Entscheidung für eine wirklich gute Änderung
    Anfangs ist es ungewohnt, aber man gewöhnt sich schnell daran, und realistisch betrachtet hat es kaum Auswirkungen auf die Sicherheit

    • In Hochrisiko-Szenarien wie Teleskopen, Überwachung von Stromleitungen oder Timing-Angriffen muss man aber weiterhin vorsichtig sein
    • Das Linux-Passwort meines Vaters bestand aus nur einem Zeichen, und bei der Remote-Hilfe ist mir das lange nicht aufgefallen
      Die stille Eingabeaufforderung hat das verborgen, aber ein Ein-Zeichen-Passwort ist ohnehin sinnlos
    • Früher nutzten mehrere Leute denselben Computer, und die Offenlegung der Passwortlänge konnte Angreifern helfen
      Heute ist das weniger wichtig, und wer möchte, kann weiterhin in den stillen Modus zurückwechseln
    • Wenn ein Angreifer den Bildschirm direkt sehen kann, ist es ohnehin effizienter, auf die Tastatur zu schauen
      Am Ende ist das eher eine UX-Verbesserung als ein Sicherheitsgewinn

  • Feedback bei Tasteneingaben ist gut, aber vielleicht wäre eine andere Methode besser als eine simple 1:1-Abbildung
    Zum Beispiel gibt xsecurelock Feedback, indem sich bei der Eingabe ein Punkt über einer Linie bewegt
    So bleibt die Passwortlänge verborgen, während das Gefühl der Eingabe erhalten bleibt
    Bei sudo lässt sich mit Defaults !pwfeedback derselbe Effekt erzielen
    Realistisch gesehen gilt: Wenn Angriffe mit physischem Zugriff möglich sind, kann man ohnehin auf andere Weise kompromittiert werden; das hier ist also eher eine UX-Verbesserung

    • Für Menschen mit kurzen Passwörtern kann die Preisgabe der Länge riskanter sein
    • Andererseits ist es manchmal nützlich, die Eingabelänge zu sehen
      Wenn ich ein falsches Passwort eingegeben hatte, war es frustrierend, nicht zu wissen, wie viele Zeichen ich löschen muss; diese Funktion löst genau das Problem

  • Es hätte vielleicht gereicht, das neue Verhalten nur als Option anzubieten
    Wenn der Standard geändert wird, könnte beim sudo-Einsatz in Streams die Passwortlänge sichtbar werden

    • Streamer kennen dieses Risiko normalerweise und öffnen vor der Übertragung entweder eine Root-Shell oder schalten die Funktion aus
      Außerdem lässt sich die Länge auch am Tastaturgeräusch abschätzen
    • Die Änderung des Standardwerts hilft den meisten Nutzern, und das Sicherheitsrisiko ist minimal
    • In der Praxis ist es kein großes Problem, solange das Passwort nicht mit dem lokalen Passwort identisch ist
      Außerdem muss man während eines Streams nur selten sudo verwenden
    • Live-Streaming ist ein Sonderfall, daher ist es vernünftig, den Standard für alle anderen beizubehalten
    • Für eine bessere Barrierefreiheit ist eine standardmäßige Aktivierung wahrscheinlich sinnvoller

  • Wenn jemand ein Passwort eingibt, sollte es die Kultur geben, sich wegzudrehen
    Umgekehrt sollte man den Blick selbst abwenden, wenn auf dem Bildschirm einer anderen Person eine Passwortabfrage zu sehen ist

  • Wenn bei jeder Eingabe rotierende Zeichen wie / - \\ | angezeigt würden, gäbe es Feedback, ohne die Länge offenzulegen

    • Früher zeigte irgendeine Software, vermutlich aus der Lotus-Notes-Ecke, bei jeder Eingabe eine zufällige Anzahl Sternchen an
      Beim Löschen verringerte sich die Zahl nach derselben Regel, sodass es zwar Feedback gab, die Länge aber verwirrend blieb
    • Das kann Nutzer trotzdem verwirren und bringt praktisch keinen echten Vorteil
    • Ein Angreifer könnte die Anzahl der Anschläge auch am Tastaturgeräusch mitzählen, also macht es kaum einen Unterschied
    • Für Ubuntu-Einsteiger wäre das womöglich eher noch verwirrender
    • Schon zu Zeiten von IBM Notes führte diese „abweichende Sternchenzahl“ zu Verwirrung bei Nutzern

  • Dass sudo Passwörter standardmäßig verborgen hat, ist ein Überbleibsel aus der Ära gemeinsamer Terminals und Papierausgabegeräte (tty)
    Früher wurden Eingaben tatsächlich auf Papier mitgedruckt, daher musste man sie aus Sicherheitsgründen verbergen

    • Außerdem unterschieden sich damals je nach Terminal die Steuersequenzen für die Anzeige von Ersatzzeichen, was die Kompatibilität erschwerte
      Heute ist das in den meisten Umgebungen kein Problem mehr, und die 1 % der Nutzer können per Einstellung zum alten Verhalten zurückkehren
 
kayws426 2026-03-22

Dagegen bin ich.
 
kh0324 2026-03-22

Das blinde Nachmachen von Mac und das Ersetzen von etwas völlig Funktionierendem durch Rust.
Heute machen sie also schon wieder so weiter.