Mật khẩu Palindrom không được phép tại sao?

35

Tôi đã cố gắng thay đổi mật khẩu Linux thành "sitonapotatopanotis" và gặp lỗi này: BAD PASSWORD: is a palindrome

Tại sao quy tắc này tồn tại?

linux  passwords 
Joe Mornin
nguồn
Không ai ngoài các nhà phát triển pam_cracklibcó thể trả lời điều này. Tôi đã thử nhìn vào manpagevà thực hiện tìm kiếm trên web nhanh chóng nhưng không gặp may.
Belmin Fernandez
2
Gần như không thể hiểu được người chặn nó đang nghĩ gì. Nhưng khi toàn bộ công việc của ai đó là nghĩ ra mật khẩu mà chúng tôi không được phép sử dụng, cuối cùng họ sẽ bắt đầu tìm kiếm thêm nhiều thứ để thêm. tôi nghĩ để trả lời câu hỏi của bạn: Tại sao? - ai đó đã có quá nhiều thời gian trên tay của họ.
Ian Boyd
Đó dường như là một mật khẩu tốt đối với tôi, tôi đã thấy tồi tệ hơn nhiều.
nikhil
1
Đó là ít mà mức độ phức tạp thấp (đó là, nhưng đó không phải là sai điều duy nhất với palindromes), nhưng điều đó wordlists nứt bao gồm nhiều palindromes chung để thử trước khi tấn công brute-buộc ( amanaplanpanama, sitonapotatopanotis, tacocat<- người cuối cùng đây là một thẻ rất thường xuyên trong Mèo con nổ tung ).
Max P Magee

Câu trả lời:

11

Các manpagecho pam_cracklib(chịu trách nhiệm về việc kiểm tra sức mạnh mật khẩu) không xác định tại sao điều này được thực hiện:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Tuy nhiên, không khó để tưởng tượng rằng có một số phần mềm bẻ khóa mật khẩu dùng thử palindromes.

Tôi không khuyên bạn nên sử dụng mật khẩu như vậy nhưng tùy bạn đánh giá sự đánh đổi bảo mật nào mà bạn cảm thấy thoải mái khi thực hiện (bạn có thể sử dụng sudohoặc roottài khoản để thay đổi mật khẩu và nó sẽ cho phép bạn thay đổi mật khẩu thành bất cứ điều gì bạn muốn).

Belmin
nguồn
2
Vậy nếu anh ta thêm / bớt một ký tự thì mật khẩu sẽ ổn chứ?
Daniel R Hicks
11
@DanH: Vâng. Nếu một chương trình bẻ khóa sẽ thử "gần palindromes", thì khá nhiều thứ phải thử mọi thứ.
David Schwartz
10
Dường như với tôi rằng một bảng màu phải được tính là hợp lệ nếu nửa đầu được tính là mật khẩu hợp lệ. (Nhưng đó là cách chọn nit, tất nhiên).
Daniel R Hicks
17

Bởi vì mật khẩu palindromic gồm 20 ký tự chỉ an toàn như mật khẩu 10 ký tự - về cơ bản không có thêm entropy trong 10 ký tự cuối. Vì vậy, bạn đang nhận được một cảm giác an toàn sai lầm khi có một mật khẩu dài.

Mike Scott
nguồn
11
Có thể sai ở đây, nhưng bảo mật hiệu quả vẫn phụ thuộc vào cách bạn cố gắng bẻ khóa mật khẩu như vậy. Kẻ tấn công có biết có một bộ ký tự giới hạn đang được sử dụng không? Chúng ta có biết chiều dài mật khẩu không?
slhck
19
Các cracker mật khẩu thường thử palindromes của mỗi đoán?
Joe Mornin
1
Hừm, nó chắc chắn thêm vào mật khẩu entropy . Tuy nhiên, tôi chắc chắn sẽ không đề nghị nó. Tất cả phụ thuộc vào cách phần mềm bẻ khóa mật khẩu tạo ra hoán vị.
Belmin Fernandez
13
Một mật khẩu palindromic thêm chính xác một chút entropy (là palindrom so với không phải là palindrom). Nó không "chỉ an toàn như mật khẩu 10 ký tự", mà còn kém an toàn hơn mật khẩu 11 ký tự.
4
Tôi sitonapotatopanotiscó thể nói có lẽ ít entropic hơn so với mật khẩu 10 chữ cái tiêu chuẩn được tạo từ các từ tiếng Anh. Ngữ pháp chính xác palindormes là rất hiếm. Sẽ an toàn nếu bạn tạo một bảng màu trong số 10 ký tự ngẫu nhiên mwiovqfbzczbfqvoiwm, hoặc nếu bạn chỉ lấy từ và làm cho phần bảng màu trở nên vô nghĩa doctorwormrowrotcod. Ngoài ra nó cho biết thêm một ít hơn một chút entropy (bạn có thể thay đổi cách bạn làm palindrome; ví dụ, doctorwormrowrotcodhay doctorwormmrowrotcodhay doctorotcodwormmrowr., Vv Nhưng trong palindromes nói chung là một ý tưởng tồi trong pw
dr jimbob
10

Mọi người chỉ đơn giản là có nhiều khả năng chọn "racecar" vì mật khẩu của họ khiến họ thích nó. Vì vậy, những từ đó tăng cao trên tất cả các danh sách từ (được sử dụng trước bất kỳ sự ép buộc nào). Và nó đơn giản hơn để kiểm tra đối với tất cả các palindromes hơn là duy trì một danh sách các palindromes trong thư viện kiểm tra mật khẩu.

Một số mật khẩu là tuyệt vời và một số thực sự xấu.
Chúng tôi sử dụng các yếu tố nhất định để đánh giá chất lượng của mật khẩu. Giống như chiều dài hoặc những gì các nhân vật khác nhau được sử dụng.

Đối với một số mật khẩu, các yếu tố này trở nên ít liên quan hơn hoặc không liên quan.

Giống như, đây là một mật khẩu tuyệt vời:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Cái này không nhiều lắm:

acbaacbacaabcabbbaaabcaccbbbaaac

Mặc dù nó có cùng độ dài, nhưng nếu áp dụng cùng một quy tắc mật khẩu và bạn buộc phải sử dụng nó, mật khẩu thứ hai sẽ được thử sớm hơn rất nhiều so với mật khẩu đầu tiên.

Chúng ta hãy xem cái này:

qwertyuiopasdfghjklzxcvbnm123456

Bây giờ, chúng tôi đang lăn lộn với một mật khẩu nghiêm trọng! Chỉ có điều đó gần như là mật khẩu tồi tệ nhất có thể bởi vì tất cả các chữ cái được sử dụng theo cùng một kiểu như chúng xuất hiện trên một loại bàn phím rất phổ biến.

Ai đó có thể nhìn vào mật khẩu đó và nghĩ rằng nó siêu tuyệt vời vì anh ta chọn nó theo giả định sai (độ dài là quan trọng nhất đối với mật khẩu).

Điều tương tự có thể được nói cho palindromes. Trước hết, họ cho cảm giác an toàn sai lầm (như Mike lưu ý) vì độ dài của chúng được tăng lên bằng cách đơn giản là sao chép tất cả các chữ cái. Nhưng vấn đề thực sự với họ là chúng dễ nhớ và có phần của một mặt hàng.

Der Hochstapler
nguồn
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" đây không phải là một mật khẩu tuyệt vời, nó là một mật khẩu khủng khiếp, vì bạn chỉ đơn giản là không thể nhớ nó.
o0 '.
3
Lý do duy nhất tại sao đó là mật khẩu xấu chỉ vì tôi đã đề cập ở đây và nó không còn là bí mật nữa. Tôi chỉ sử dụng mật khẩu được tạo ngẫu nhiên kết hợp với giải pháp đăng nhập một lần.
Der Hochstapler
2
Phiên bản 10 có 73 trích dẫn mới. Nhiều trích dẫn hơn trên mỗi nền tảng kiến ​​thức dưới các mức độ khác nhau, đơn đặt hàng thấp, trả tiền cho bạn một cách tử tế, tăng trưởng lớn cho kiến ​​thức sâu sắc của người mới. Công việc hữu ích chờ đợi trong tương lai.
Synetech
2
Jürgen A. Erhard
2
@OliverSalzburg Bạn không cần phải nhớ mật khẩu; nó được viết trên Post-it gắn vào màn hình của tôi.
Ian Boyd
0

Cách dễ dàng để đặt mật khẩu tầm thường, ngay cả khi đó là một ký tự, đó là sử dụng người dùng root để đặt mật khẩu.

Joe
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.