Пароли палиндрома запрещены - почему?

35

Я попытался изменить пароль Linux на «sitonapotatopanotis» и получил эту ошибку: BAD PASSWORD: is a palindrome

Почему существует это правило?

Джо Морнин
источник
Никто, кроме разработчиков, pam_cracklibне мог ответить на это. Я попытался посмотреть на manpageи сделал быстрый поиск в Интернете, но не повезло.
Бельмин Фернандес
2
Почти невозможно понять, о чем думал человек, заблокировавший это. Но когда чья-то вся работа заключается в том, чтобы придумывать пароли, которые нам не разрешено использовать, они в конечном итоге начинают тянуться к дополнительным вещам, которые можно добавить. думаю ответить на ваш вопрос: почему? - у кого-то было слишком много времени на руках.
Ян Бойд
Это похоже на хороший пароль, я видел намного хуже.
Нихил
1
Это меньше, чем сложность ниже (это, но это не единственное , что случилось с палиндромами), но растрескивание списков слов включают в себя много общих палиндромов , чтобы попробовать , прежде чем скотина форсирование ( amanaplanpanama, sitonapotatopanotis, tacocat<- это последний очень частая карта в Взрывающиеся котята ).
Макс П Маги

Ответы:

11

manpageДля pam_cracklib(ответственного за проверку прочности пароля) не указывается , почему это делается:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Однако нетрудно представить, что есть некоторые программы для взлома паролей, которые пробуют палиндромы.

Я бы не рекомендовал использовать такой пароль, но вам решать, какие компромиссы безопасности вам удобнее делать (вы можете использовать sudoили rootизменить учетную запись в учетной записи, и это позволит вам сменить ее на любой, какой вы захотите).

Бельмин Фернандес
источник
2
Так что, если бы он добавил / вычел один символ, пароль был бы в порядке?
Даниэль Р Хикс
11
@DanH: Да. Если программа взлома попробует "около палиндромов", она должна попробовать все.
Дэвид Шварц
10
Мне кажется, что палиндром должен считаться действительным, если первая половина считается действительным паролем. (Но это, конечно, придирки).
Даниэль Р Хикс
17

Поскольку 20-символьный палиндромный пароль является таким же безопасным, как и 10-символьный пароль - в последних 10 символах практически отсутствует дополнительная энтропия. Таким образом, вы получаете ложное чувство безопасности от длинного пароля.

Майк Скотт
источник
11
Возможно, здесь все не так, но эффективная безопасность по-прежнему зависит от того, как вы пытаетесь взломать такой пароль. Злоумышленник знает, что используется ограниченный набор символов? Мы знаем длину пароля?
slhck
19
Взломщики паролей обычно пробуют палиндромы каждой догадки?
Джо Морнин
1
Хм, это конечно добавляет энтропии пароля . Однако я, конечно, не рекомендовал бы это. Все зависит от того, как программное обеспечение для взлома паролей генерирует перестановки.
Бельмин Фернандес
13
Палиндромный пароль добавляет ровно один бит энтропии (палиндром против не палиндром). Он не «столь же безопасен, как пароль из 10 символов», но гораздо менее безопасен, чем пароль из 11 символов.
4
Я бы сказал, что, sitonapotatopanotisвероятно, значительно менее энтропийно, чем стандартный 10-буквенный пароль из английских слов. Грамматически правильные палиндормы очень редки. Было бы примерно так же безопасно, если бы вы сделали палиндром из 10 случайных символов mwiovqfbzczbfqvoiwm, или если вы просто взяли слова и сделали часть палиндрома бессмысленной doctorwormrowrotcod. Кроме того, это добавляет немного больше энтропии (вы можете варьировать, как вы делаете палиндром, например, doctorwormrowrotcodили doctorwormmrowrotcodили doctorotcodwormmrowr, и т. Д. Но в целом палиндромы - плохая идея в pw.
Dr jimbob
10

Люди просто чаще выбирают «гоночный автомобиль» в качестве пароля, потому что им это нравится . Таким образом, эти слова находятся высоко во всех списках слов (которые используются перед любым перебором). И проверить все палиндромы проще, чем вести список палиндромов в библиотеке проверки паролей.


Некоторые пароли отличные, а некоторые очень плохие.
Мы используем определенные факторы, чтобы судить о качестве пароля. Как длина или какие разные символы используются.

Для некоторых паролей эти факторы становятся менее значимыми или неактуальными вообще.

Мол, это отличный пароль:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Этот, не так много

acbaacbacaabcabbbaaabcaccbbbaaac

Несмотря на то, что он имеет одинаковую длину, если применяются те же правила для паролей, и вы его переборываете, второй пароль будет опробован намного раньше, чем первый пароль.

Давайте посмотрим на это:

qwertyuiopasdfghjklzxcvbnm123456

Теперь мы катимся с серьезным паролем! Только то, что это почти худший из возможных паролей, потому что все буквы используются в том же порядке, что и на очень популярном типе клавиатуры.

Кто-то может взглянуть на этот пароль и подумать, что он супер, потому что он выбирает его из-за ложных предположений (длина является наиболее важной для пароля).

То же самое можно сказать и о палиндромах. Во-первых, они дают ложное чувство безопасности (как отмечает Майк), потому что их длина увеличивается путем простого дублирования всех букв. Но настоящая проблема с ними в том, что они легко запоминаются и являются чем-то вроде товара.

Der Hochstapler
источник
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" это не отличный пароль, он ужасный, так как вы просто не можете его запомнить.
о0 '.
3
Единственная причина, по которой это плохой пароль, заключается в том, что я упомянул его здесь, и он больше не секрет. Я использую только случайно сгенерированные пароли в сочетании с решением единой регистрации.
Der Hochstapler
2
Версия 10 имеет 73 новых цитаты. Больше цитат в базе знаний по-разному кратко, низкие заказы, любезно платит вам, большой рост знаний острых новичков. Полезные задания ждут в будущем.
Synetech
2
xkcd.com/936
Юрген А. Эрхард
2
@OliverSalzburg Вам не нужно запоминать пароль; это написано на Post-it, прикрепленном к моему монитору.
Ян Бойд
0

Простой способ установить тривиальные пароли, даже если это один символ, это с помощью root-пользователя установить пароль.

Джо
источник