Паролі Palindrome заборонені

35

Я спробував змінити пароль Linux на "sitonapotatopanotis" і отримав цю помилку: BAD PASSWORD: is a palindrome

Чому це правило існує?

linux passwords

Ніхто, крім розробників, не pam_cracklibміг відповісти на це. Я спробував подивитися на manpageта зробив швидкий пошук в Інтернеті, але не пощастило.

— Белмін Фернандес

2

Зрозуміти, що думає людина, яка її заблокувала, майже неможливо. Але коли хтось цілий завдання - придумувати паролі, які ми не можемо використовувати, вони з часом починають шукати ще щось. я думаю відповісти на ваше запитання: чому? - у когось було занадто багато часу на руках.

— Ян Бойд

Мені це здається гарним паролем, я бачив набагато гірше.

— nikhil

1

Це менше, ніж складність нижче (це, але це не єдине , що трапилося з паліндромами), але розтріскування списків слів включають в себе багато спільних палиндромов , щоб спробувати , перш ніж скотина форсування ( amanaplanpanama, sitonapotatopanotis, tacocat<- це останній дуже часта карта в Вибухають кошенята ).

— Max P Magee

11

Параметр manpagefor pam_cracklib(відповідальний за перевірку надійності пароля) не вказує, чому це робиться:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Однак, не важко уявити, що є деякі програмні засоби для розлому паролів, які намагаються виконувати паліндроми.

Я б не рекомендував користуватися таким паролем, але саме ви вирішите оцінити, які компроміси у безпеці вам зручні (ви можете використовувати sudoабо rootобліковий запис, щоб змінити пароль, і це дозволить вам змінити його на все, що завгодно).

— Белмін Фернандес
джерело

2

Отже, якщо він додав / відніс один символ, пароль буде добре?

— Даніель Р Хікс

11

@DanH: Так. Якщо програма для розтріскування спробує спробувати "біля паліндромів", вона, як правило, повинна спробувати все.

— Девід Шварц

10

Мені здається, що паліндром слід вважати дійсним, якщо перша половина вважається дійсним паролем. (Але це, звичайно, збирання азоту).

— Даніель Р Хікс

17

Оскільки 20-символьний паліндромний пароль настільки ж безпечний, як і 10-символьний пароль - в останніх 10 символів фактично немає додаткової ентропії. Таким чином, ви отримуєте помилкове почуття безпеки через довгий пароль.

— Майк Скотт
джерело

11

Тут може бути помилково, але ефективна безпека все ще залежить від того, як ви намагаєтесь зламати такий пароль. Чи знає нападник, що використовується обмежений набір символів? Чи знаємо ми довжину пароля?

— slhck

19

Змагання з паролем зазвичай пробують паліндроми кожної здогадки?

— Джо Морнін

1

Гм, це, безумовно, додає до ентропії пароля . Однак я, звичайно, не рекомендував би його. Все залежить від того, як програмне забезпечення для розлому пароля генерує перестановки.

— Белмін Фернандес

13

Паліндромний пароль додає рівно один біт ентропії (паліндром проти не паліндром). Він не лише "безпечний, як 10-символьний пароль", але набагато менш безпечний, ніж 11-символьний.

4

Я б сказав, sitonapotatopanotisмабуть, значно менш ентропічний, ніж стандартний пароль з 10 літер, зроблений з англійських слів. Граматично правильні паліндорми зустрічаються дуже рідко. Це було б настільки ж безпечно, якби ви зробили паліндром з 10 випадкових символів mwiovqfbzczbfqvoiwm, або якщо ви просто взяли слова і зробили паліндром частиною дурниці doctorwormrowrotcod. Крім того, це додає трохи більше ентропії (ви можете змінити, як ви робите паліндром; наприклад, doctorwormrowrotcodабо doctorwormmrowrotcodабо doctorotcodwormmrowrтощо. Але загалом паліндроми - це погана ідея в pw.

— dr jimbob

10

Люди просто більш схильні вибирати "гоночний автомобіль", оскільки їх пароль тому, що їм це подобається . Таким чином, ці слова належать до всіх списків слів (які вживаються перед будь-якою грубою форсуванням). І простіше перевірити всі паліндроми, ніж підтримувати список паліндром у бібліотеці перевірки паролів.

Деякі паролі чудові, а деякі справді погані.
Ми використовуємо певні фактори, щоб оцінити якість пароля. Як довжина або які різні символи використовуються.

Для деяких паролів ці фактори стають менш актуальними або взагалі не мають значення.

Мовляв, це чудовий пароль:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Цей, не дуже:

acbaacbacaabcabbbaaabcaccbbbaaac

Незважаючи на те, що він має однакову довжину, якщо застосовуються однакові правила пароля, і ви жорстоко застосовуєте його, другий пароль буде випробуваний набагато раніше, ніж перший.

Давайте подивимось на це:

qwertyuiopasdfghjklzxcvbnm123456

Тепер ми катаємося з серйозним паролем! Тільки те, що це чи не найгірший можливий пароль коли-небудь, тому що всі букви використовуються в тій же схемі, що і на дуже популярному типі клавіатури.

Хтось може поглянути на цей пароль і вважає, що це надзвичайно приголомшливо, оскільки він вибирає його за хибними припущеннями (довжина є найбільш важливою для пароля).

Те саме можна сказати і про паліндроми. Перш за все, вони створюють помилкове відчуття безпеки (як зазначає Майк), оскільки їх довжина збільшується шляхом простого дублювання всіх літер. Але справжня проблема з ними полягає в тому, що вони легко запам’ятовуються і дещо є товаром.

— Der Hochstapler
джерело

12

-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" це не великий пароль, це жахливий, оскільки ви просто не можете його запам'ятати.

— o0 '.

3

Єдина причина, чому це поганий пароль - це лише те, що я його згадав тут, і це вже не секрет. Я використовую лише випадково згенеровані паролі в поєднанні з рішенням із одним входом.

— Der Hochstapler

2

У версії 10 є 73 нові цитати. Більше котирувань на базу знань за різно лаконічних, низьких замовлень, доброзичливо виплачує вам, великий ріст за знання зацікавлених новачків. Корисні роботи чекають, коли йде вперед.

— Synetech

2

xkcd.com/936

— Юрген А. Ерхард

2

@OliverSalzburg Не потрібно пам'ятати пароль; це написано на Post-it, прикріпленому до мого монітора.

— Ян Бойд

0

Найпростіший спосіб встановити тривіальні паролі, навіть якщо це один символ, це встановити пароль за допомогою користувача root.

— Джо
джерело

Паролі Palindrome заборонені - чому?