Ubuntu 26.04 akhiri 46 tahun ‘input kata sandi sudo tanpa indikator’

 (pbxscience.com)
13 poin oleh GN⁺ 2026-03-22 | 6 komentar | Bagikan ke WhatsApp
  • Di Ubuntu 26.04 LTS, saat menjalankan perintah sudo, umpan balik visual berupa tanda bintang (*) untuk setiap karakter kata sandi yang diketik akan aktif secara default
  • Fitur ini dimungkinkan berkat adopsi sudo-rs yang ditulis ulang dalam Rust, dan Canonical menjadikannya sudo default di Ubuntu 25.10
  • Sejumlah pengguna menentang dengan alasan risiko terbukanya panjang kata sandi, tetapi tim pengembang menekankan bahwa risikonya kecil dan konsisten dengan layar login
  • Untuk mengembalikan perilaku lama, cukup tambahkan Defaults !pwfeedback ke file sudoers dan perubahan langsung berlaku
  • Perubahan ini merupakan bagian dari upaya modernisasi sistem Ubuntu 26.04 yang juga mencakup GNOME 50, Linux kernel 7.0, dan coreutils berbasis Rust

Sejarah input kata sandi sudo

  • Pada 1980, Bob Coggeshall dan Cliff Spencer di SUNY Buffalo mengembangkan sudo pertama
    • Saat itu terminal sering digunakan bersama, dan tampilan input disembunyikan sepenuhnya untuk mencegah shoulder surfing
    • Desain ini kemudian dipertahankan di hampir semua distribusi Linux utama selama hampir 46 tahun
  • Linux Mint menjadi yang pertama mencoba perubahan dengan mengaktifkan umpan balik visual secara default dalam konfigurasinya sendiri
    • Distribusi utama seperti Ubuntu lama mempertahankan metode input tanpa indikator

sudo-rs dan proses perubahan di Ubuntu

  • sudo-rs** adalah implementasi yang sepenuhnya menulis ulang sudo berbasis C lama ke**Rust

    • Canonical menggantinya sebagai sudo default di Ubuntu 25.10, tetapi dari sudut pandang pengguna perilakunya tetap sama
    • Pada Februari 2026, patch upstream sudo-rs yang mengaktifkan pwfeedback secara default digabungkan
    • Canonical memasukkannya ke build pengembangan 26.04, memicu perdebatan di komunitas
    • Linimasa utama
    • 1980: sudo asli dikembangkan, input tanpa indikator menjadi default
    • Oktober 2025: sudo-rs diperkenalkan di Ubuntu 25.10
    • Februari 2026: patch aktivasi default pwfeedback digabungkan
    • 23 April 2026: Ubuntu 26.04 LTS dijadwalkan rilis, dengan tampilan bintang aktif secara default

Dua sisi perdebatan keamanan

  • Argumen pihak pengkritik

    • Tanda bintang membuat panjang kata sandi terekspos sehingga model keamanan lama melemah
    • Muncul laporan bug yang menyebut ini “merusak langkah keamanan historis”

  • Bantahan dari pengembang

    • Dalam praktiknya risiko terbukanya panjang kata sandi sangat kecil; dari jarak dekat pun orang bisa menebak lewat suara ketikan atau gerakan tangan
    • Kata sandi sudo kebanyakan pengguna sama dengan kata sandi login, dan di layar login karakter sudah ditampilkan sebagai titik (dot)
    • Karena itu, mempertahankan terminal tetap tanpa indikator dianggap hanya security theatre
    • Ringkasan perbandingan
Item sudo lama (tanpa indikator) sudo-rs + pwfeedback
Umpan balik visual Tidak ada Tanda bintang per input
Panjang kata sandi terekspos Tidak Ya
Konsistensi dengan layar login Tidak konsisten Konsisten
Pengalaman pengguna baru Membingungkan Bisa memastikan input masuk
Sesi SSH Tanpa indikator Tetap menampilkan bintang
Bisa dipulihkan Bisa (!pwfeedback)

Cara mengembalikan perilaku lama

  • Buka file sudoers dengan perintah sudo visudo, lalu tambahkan satu baris berikut 
    Defaults !pwfeedback
  • Setelah disimpan, perubahan langsung berlaku pada sesi terminal baru
  • Tidak perlu restart sistem

Modernisasi Ubuntu 26.04

  • Perubahan ini merupakan bagian dari modernisasi sistem secara menyeluruh di Ubuntu 26.04 LTS “Resolute Raccoon”
    • Termasuk GNOME 50 (khusus Wayland), Linux kernel 7.0, dan coreutils berbasis Rust (uutils/coreutils)
    • Canonical memperkuat keamanan memori dan pengalaman pengguna modern melalui adopsi Rust
  • Perdebatan soal tampilan bintang di sudo-rs melambangkan benturan antara filosofi Unix tradisional dan UX modern
    • Pengguna tetap bisa kembali ke cara lama kapan saja hanya dengan satu baris konfigurasi
    • Default diputuskan dengan memprioritaskan “lebih baik membantu pemula yang bingung melihat layar kosong daripada mempertahankan kebiasaan lama”
  • Ubuntu 26.04 LTS dijadwalkan rilis resmi pada 23 April 2026 dan saat ini masih dalam tahap pengembangan
    • Paket sudo-ws lama tidak terdampak oleh perubahan pwfeedback ini

Bacaan terkait

6 komentar

 
sonnet 2026-03-22

Kalau fakta bahwa panjang input bisa diketahui dengan mengintip dari samping dianggap sebagai kerentanan keamanan yang serius, lalu kenapa semua keyboard yang digunakan untuk mengakses terminal Linux tidak diwajibkan memakai penutup anti-intip? Tinggal lihat keyboardnya langsung, atau rekam dengan kamera tersembunyi, selesai.
 
ndrgrd 2026-03-22

Kalau sampai ini bisa terlihat dari balik bahu, yang lebih perlu dikhawatirkan bukankah jari yang sedang mengetik itu sendiri terlihat... Pada jarak seperti itu, bunyinya sendiri juga bisa direkam untuk menghitung berapa banyak karakter yang diketik. Kalau keamanan benar-benar begitu dikhawatirkan dan itu lingkungan yang penting, seharusnya pakai physical security key.
 
yukinpl 2026-03-22

Jika pengguna login melalui terminal, kata sandi tidak ditampilkan, dan pada ssh untuk akses jarak jauh pun kata sandi tidak terekspos. Pada sudo, su, passwd, ssh, maupun login terminal, tidak pernah ada yang menampilkan kata sandi. Hanya layar login GUI yang selama ini menampilkannya secara terpisah. Justru perubahan kali ini makin merusak konsistensi.
 
GN⁺ 2026-03-22
Pendapat Hacker News

  • Kita bisa memilih pengaturan yang sepenuhnya menyembunyikan indikator visual saat memasukkan kata sandi
    Di KDE, tambahkan ShowPasswordEcho=false ke /etc/sddm.conf.d/hide-password.conf lalu reboot,
    untuk sudo, tambahkan Defaults !pwfeedback ke /etc/sudoers.d/password-no-visual-echo,
    di GNOME, perlu mengubah unlockDialog.js lalu mengganti ke set_password_char('') atau echo_char=null dan reboot

    • Jadi penasaran apakah karakter tampilan kata sandinya juga bisa diganti menjadi emoji

  • Di koneksi SSH dengan latensi tinggi, saya sering bingung apakah input saat sudo benar-benar masuk
    Apalagi kalau bercampur dengan VPN dan autentikasi IAM, sampai tidak yakin apakah kata sandi baru sudah diterapkan
    Dalam situasi seperti ini, fitur umpan balik kata sandi terasa sangat berguna. Akan lebih bagus lagi kalau Red Hat mengadopsinya

    • Saya ingat saat memasang Mandrake Linux pada 2004, saya gagal karena layar input kata sandinya tidak menunjukkan reaksi apa pun
      Kalau UI-nya berbeda waktu itu, mungkin saya akan memakai Linux jauh lebih cepat
    • Terlalu sering saya baru sadar di tengah jalan bahwa kata sandi yang dimasukkan salah lalu menekan tombol delete berkali-kali
    • Keyboard saya pernah bermasalah sehingga saya tidak yakin inputnya masuk, sampai-sampai saya mengetik kata sandi di file teks lalu copy-paste
      Memang buruk dari sisi keamanan, tapi setidaknya tidak ada orang yang mengintip dari belakang
    • Untuk server jarak jauh, menurut saya lebih baik jangan memasukkan kata sandi sudo secara langsung, melainkan menyiapkan akun nopassword dan autentikasi kunci publik
    • Sebenarnya tidak sepenuhnya “macet” karena kita masih bisa memastikan ada input dari kursor yang berkedip

  • Layar login macOS juga perlu diperbaiki
    Kotak input kata sandinya terlalu sempit, jadi walau memasukkan kata sandi panjang tetap tidak ada umpan balik yang jelas
    Kalau keyboard sedang tidak stabil, proses login jadi sangat menjengkelkan

    • Pernah saat Capslock disetel sebagai tombol ganti bahasa, saya tidak bisa mengetik huruf kecil dalam keadaan terkunci dan akhirnya harus reboot
    • Saya memasang macOS terbaru di Mac lama dengan Open Core Legacy Patcher (OCLP), lalu setelah upgrade, layar login mengalami delay 20~30 detik untuk setiap penekanan tombol
      Hanya 13 dari 18 karakter kata sandi yang terlihat sehingga saya kira inputnya berhenti. Akhirnya butuh 30 menit untuk bisa login
    • Saya suka pendekatan lama seperti Lotus 1-2-3, di mana simbol yang tampil berubah setiap kali mengetik (misalnya hieroglif)
      Panjang kata sandi memang tetap terlihat, tetapi dari sisi pengguna umpan balik inputnya jauh lebih jelas
      Diskusi terkait bisa dilihat di Security StackExchange

  • Akan lucu kalau ada versi bercanda yang menampilkan string konyol alih-alih*
    Misalnya menampilkan kata sandi palsu seperti “iloveyouiloveyou” atau “12345612345”

    • Atau seperti Lotus Notes, simbolnya berubah setiap kali mengetik, itu juga terdengar menarik
    • Tapi pendekatan seperti ini memang bisa memudahkan menghitung panjang kata sandi dengan mengintip dari belakang
    • Meski begitu, kalau bisa dipasang saya ingin langsung mencobanya

  • Menurut saya ini perubahan yang sangat bagus
    Awalnya memang membingungkan, tapi cepat terbiasa, dan secara realistis dampaknya terhadap keamanan tidak besar

    • Namun untuk skenario berisiko tinggi seperti teleskop, pemantauan saluran listrik, dan serangan timing, tetap perlu hati-hati
    • Ayah saya pernah memakai kata sandi Linux satu karakter, dan saya tidak menyadarinya saat membantu dari jarak jauh
      Prompt tanpa suara menyembunyikan fakta itu, tetapi bagaimanapun juga kata sandi satu karakter memang tidak berarti
    • Dulu satu komputer dipakai banyak orang, dan terbukanya panjang kata sandi memang membantu penyerang
      Sekarang hal itu kurang penting, dan kalau mau pengguna tetap bisa mengembalikannya ke mode diam
    • Kalau penyerang bisa melihat layar secara langsung, melihat keyboard justru lebih efisien
      Pada akhirnya, ini lebih bermakna sebagai peningkatan UX daripada peningkatan keamanan

  • Memberi umpan balik saat tombol ditekan itu bagus, tapi mungkin tidak harus berupa korespondensi 1:1 yang sederhana
    Misalnya, xsecurelock memberi umpan balik dengan titik yang bergerak di atas sebuah garis saat ada input
    Ini menjaga panjang kata sandi tetap tersembunyi sambil tetap memberi rasa bahwa input diterima
    Di sudo, efek serupa bisa didapat dengan Defaults !pwfeedback
    Secara realistis, kalau serangan dengan akses fisik sudah memungkinkan, sistem kemungkinan bisa diretas dengan cara lain juga, jadi ini lebih terlihat sebagai peningkatan UX semata

    • Bagi orang yang memakai kata sandi pendek, terbukanya panjang bisa menjadi risiko yang lebih besar
    • Sebaliknya, ada juga situasi di mana menampilkan panjang input itu berguna
      Saat salah memasukkan kata sandi, rasanya menjengkelkan karena tidak tahu harus menghapus berapa karakter, dan fitur ini menyelesaikan masalah itu

  • Sepertinya sudah cukup kalau perilaku baru ini hanya disediakan sebagai opsi
    Mengubah nilai default bisa membuat panjang kata sandi terlihat saat memasukkan sudo di tengah streaming

    • Tapi streamer biasanya paham risiko seperti ini, dan sebelum siaran mereka sering membuka shell root lebih dulu atau mematikan fitur tersebut
      Lagi pula, panjangnya juga bisa diperkirakan dari suara keyboard
    • Mengubah default akan membantu sebagian besar pengguna, sementara risikonya terhadap keamanan sangat kecil
    • Dalam praktiknya, kalau kata sandi itu tidak sama dengan kata sandi lokal, masalahnya juga tidak besar
      Lagi pula jarang ada kebutuhan memakai sudo saat sedang siaran
    • Live streaming adalah situasi yang khusus, jadi masuk akal kalau nilai default tetap seperti ini
    • Demi peningkatan aksesibilitas, menurut saya lebih baik diaktifkan secara default

  • Perlu ada budaya untuk memalingkan badan saat seseorang sedang memasukkan kata sandi
    Sebaliknya, kalau melihat prompt kata sandi di layar orang lain, kita sendiri yang seharusnya memalingkan kepala

  • Kalau setiap kali mengetik ditampilkan karakter berputar seperti / - \\ |, mungkin bisa memberi umpan balik input sambil tetap menyembunyikan panjangnya

    • Dulu ada perangkat lunak tertentu (mungkin keluarga Lotus Notes) yang menampilkan jumlah tanda bintang acak setiap kali ada input
      Saat menghapus pun jumlahnya berkurang mengikuti aturan yang sama, jadi tetap memberi umpan balik tetapi membuat panjangnya membingungkan
    • Namun ini tetap bisa membingungkan pengguna dan tidak memberi manfaat nyata
    • Penyerang juga masih bisa menghitung jumlah ketukan dari suara keyboard, jadi perbedaannya tidak besar
    • Bagi pemula Ubuntu, ini justru bisa terasa lebih membingungkan
    • Pada era IBM Notes pun, “jumlah tanda bintang yang tidak cocok” seperti ini membuat pengguna bingung

  • Alasan sudo menyembunyikan kata sandi secara default adalah warisan dari era terminal bersama dan printer kertas (tty)
    Dulu input benar-benar tercetak di kertas, jadi perlu disembunyikan demi keamanan

    • Selain itu, dulu setiap terminal punya control sequence yang berbeda untuk menampilkan pengganti karakter, sehingga kompatibilitas menjadi sulit
      Sekarang hal itu tidak lagi menjadi masalah di sebagian besar lingkungan, dan 1% pengguna masih bisa mengubahnya kembali lewat pengaturan
 
kayws426 2026-03-22

Saya menentang ini.
 
kh0324 2026-03-22

Meniru Mac, mengubah sesuatu yang baik-baik saja ke Rust. Hari ini juga tetap begini rupanya.