Le password di Palindrome non sono consentite: perché?

35

Ho provato a cambiare una password di Linux in "sitonapotatopanotis" e ho riscontrato questo errore: BAD PASSWORD: is a palindrome

Perché esiste questa regola?

linux  passwords 
Joe Mornin
fonte
Nessuno tranne gli sviluppatori di pam_cracklibpotrebbe rispondere a questo. Ho provato a guardare manpagee ho fatto una rapida ricerca sul web ma senza fortuna.
Belmin Fernandez,
2
È quasi impossibile capire cosa stesse pensando la persona che lo ha bloccato. Ma quando l'intero lavoro di qualcuno è inventare password che non ci è permesso usare, alla fine iniziano a cercare altre cose da aggiungere. penso di rispondere alla tua domanda: perché? - qualcuno aveva troppo tempo a disposizione.
Ian Boyd
Mi sembra una buona password, ho visto molto peggio.
nikhil
1
E 'meno che la complessità è più basso (lo è, ma non è l'unica cosa che non va con palindromi), ma che elenchi di parole di cracking include molte palindromi comuni a provare prima bruta forzatura ( amanaplanpanama, sitonapotatopanotis, tacocat<- quest'ultima è una carta molto frequente in Gattini che esplodono ).
Max P Magee,

Risposte:

11

Il manpageper pam_cracklib(responsabile per la forza il controllo della password) non specifica il motivo per cui questo è fatto:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Tuttavia, non è difficile immaginare che ci siano alcuni software per decifrare le password che provano i palindromi.

Non consiglierei di usare una password del genere, ma spetta a te valutare quali compromessi di sicurezza sei a tuo agio (potresti usare sudoo rootaccount per cambiare la password e ti permetterà di cambiarla come preferisci).

Belmin Fernandez
fonte
2
Quindi se aggiungesse / sottrasse un carattere la password andrebbe bene?
Daniel R Hicks
11
@DanH: Sì. Se un programma di cracking proverà "vicino ai palindromi", deve praticamente provare tutto.
David Schwartz
10
Mi sembra che un palindromo debba essere considerato valido se la prima metà conta come password valida. (Ma questo è nit-picking, ovviamente).
Daniel R Hicks,
17

Poiché una password palindromica di 20 caratteri è sicura solo come una password di 10 caratteri, non c'è essenzialmente alcuna entropia aggiuntiva negli ultimi 10 caratteri. Quindi stai ricevendo un falso senso di sicurezza dall'avere una lunga password.

Mike Scott
fonte
11
Potrebbe essere sbagliato qui, ma la sicurezza effettiva dipende ancora da come si tenta di decifrare una tale password. L'attaccante sa che è in uso un set di caratteri limitato? Conosciamo la lunghezza della password?
slhck
19
I cracker di password in genere provano palindromi di ogni ipotesi?
Joe Mornin
1
Hm, aggiunge sicuramente all'entropia della password . Tuttavia, certamente non lo consiglierei. Tutto dipende da come il software di cracking della password genera permutazioni.
Belmin Fernandez,
13
Una password palindromica aggiunge esattamente un po 'di entropia (è palindromo vs. non è palindromo). Non è "solo sicuro come una password di 10 caratteri", ma è molto meno sicuro di una password di 11 caratteri.
4
Direi sitonapotatopanotisprobabilmente molto meno entropico di una password standard di 10 lettere fatta di parole inglesi. I palindormi grammaticamente corretti sono molto rari. Sarebbe altrettanto sicuro se costruissi un palindromo con 10 personaggi casuali mwiovqfbzczbfqvoiwm, o se prendessi semplicemente parole e rendessi insensate le parti del palindromo doctorwormrowrotcod. Inoltre aggiunge un po 'più di un po' di entropia (potresti variare il modo in cui esegui il palindromo; ad esempio, doctorwormrowrotcodo doctorwormmrowrotcodo doctorotcodwormmrowr, ecc. Ma in generale i palindromi sono una cattiva idea in pw.
dr jimbob
10

Le persone hanno semplicemente maggiori probabilità di scegliere "auto da corsa" poiché la loro password lo fa piacere . Quindi quelle parole sono in cima a tutte le liste di parole (che sono usate prima di qualsiasi forza bruta). Ed è più semplice controllare tutti i palindromi che mantenere un elenco di palindromi nella libreria di controllo password.

Alcune password sono fantastiche e alcune sono davvero pessime.
Utilizziamo alcuni fattori per giudicare la qualità di una password. Come la lunghezza o quali caratteri diversi vengono utilizzati.

Per alcune password, questi fattori diventano meno rilevanti o per nulla rilevanti.

Ad esempio, questa è un'ottima password:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Questo, non tanto:

acbaacbacaabcabbbaaabcaccbbbaaac

Anche se ha la stessa lunghezza, se si applicano le stesse regole di password e la forza bruta, la seconda password verrà provata molto prima della prima password.

Diamo un'occhiata a questo:

qwertyuiopasdfghjklzxcvbnm123456

Ora stiamo inserendo una password seria! Solo che è quasi la peggiore password possibile in assoluto perché tutte le lettere sono usate nello stesso schema in cui appaiono su un tipo di tastiera molto popolare.

Qualcuno potrebbe guardare quella password e pensare che sia fantastico perché la sceglie in base a presupposti falsi (la lunghezza è la più importante per una password).

Lo stesso si può dire per i palindromi. Prima di tutto, danno un falso senso di sicurezza (come osserva Mike) perché la loro lunghezza aumenta semplicemente duplicando tutte le lettere. Ma il vero problema con loro è che sono facili da ricordare e in qualche modo una merce.

Der Hochstapler
fonte
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" questa non è una password eccezionale, è terribile, dal momento che semplicemente non riesci a ricordarla.
o0 '.
3
L'unica ragione per cui questa è una password errata è solo perché l'ho menzionata qui e non è più segreta. Uso solo password generate casualmente in combinazione con una soluzione Single Sign-On.
Der Hochstapler
2
La versione 10 ha 73 nuove citazioni. Più citazioni per base di conoscenza in ordine variabile, ordini bassi, ti paga gentilmente, grande crescita per la conoscenza dei principianti appassionati. Lavori utili aspettano di andare avanti.
Synetech
2
Jürgen A. Erhard
2
@OliverSalzburg Non devi ricordare la password; è scritto sul Post-it allegato al mio monitor.
Ian Boyd,
0

Il modo semplice per impostare password banali, anche se è un singolo carattere, è usando l'utente root per impostare la password.

Joe
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.