Niedozwolone hasła do palindromów - dlaczego?

35

Próbowałem zmienić hasło systemu Linux na „sitonapotatopanotis” i otrzymałem ten błąd: BAD PASSWORD: is a palindrome

Dlaczego ta reguła istnieje?

Joe Mornin
źródło
Nikt poza twórcami nie pam_cracklibmógł na to odpowiedzieć. Próbowałem spojrzeć na manpagei zrobiłem szybkie wyszukiwanie w sieci, ale bez powodzenia.
Belmin Fernandez
2
To prawie niemożliwe, aby dowiedzieć się, co myśli osoba, która go zablokowała. Ale kiedy cała praca polega na wymyślaniu haseł, których nie wolno nam używać, w końcu zaczynają sięgać po więcej rzeczy do dodania. myślę, aby odpowiedzieć na twoje pytanie: dlaczego? - ktoś miał zbyt dużo czasu na rękach.
Ian Boyd
To wydaje mi się dobrym hasłem, widziałem znacznie gorzej.
nikhil
1
To mniej, że złożoność jest mniejsza (to jest, ale nie jest to jedyna rzecz złego palindromów), ale że pękanie list słów zawierają wiele wspólnych Palindromes aby spróbować przed brute-zmuszając ( amanaplanpanama, sitonapotatopanotis, tacocat<- ta ostatnia jest bardzo częstym karty w Eksplodujące kocięta ).
Max P Magee

Odpowiedzi:

11

manpageDla pam_cracklib(odpowiedzialny za sprawdzanie wytrzymałości hasło) nie precyzuje, dlaczego odbywa się to:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Jednak nietrudno wyobrazić sobie, że istnieje oprogramowanie do łamania haseł, które próbuje palindromów.

Nie zalecałbym używania takiego hasła, ale to od Ciebie zależy, jakie kompromisy w zakresie bezpieczeństwa są dla Ciebie wygodne (możesz użyć konta sudolub rootkonta, aby zmienić hasło, a to pozwoli Ci zmienić je na dowolne).

Belmin Fernandez
źródło
2
Więc jeśli doda / odejmie jeden znak, hasło będzie w porządku?
Daniel R Hicks,
11
@DanH: Tak. Jeśli program crackujący spróbuje „w pobliżu palindromów”, musi prawie wszystko wypróbować.
David Schwartz
10
Wydaje mi się, że palindrom powinien być liczony jako ważny, jeśli pierwsza połowa liczy się jako prawidłowe hasło. (Ale to oczywiście zbieranie nitów).
Daniel R Hicks,
17

Ponieważ 20-znakowe hasło palindromowe jest tak bezpieczne, jak 10-znakowe hasło - zasadniczo nie ma dodatkowej entropii w ostatnich 10 znakach. Długie hasło zapewnia fałszywe poczucie bezpieczeństwa.

Mike Scott
źródło
11
Może się tu mylić, ale skuteczne bezpieczeństwo nadal zależy od tego, jak spróbujesz złamać takie hasło. Czy atakujący wie, że używany jest ograniczony zestaw znaków? Czy znamy długość hasła?
slhck
19
Czy crackerzy haseł zwykle próbują palindromów przy każdym zgadywaniu?
Joe Mornin
1
Hm, z pewnością dodaje się do entropii hasła . Jednak na pewno nie poleciłbym tego. Wszystko zależy od tego, jak oprogramowanie do łamania haseł generuje permutacje.
Belmin Fernandez
13
Hasło palindromowe dodaje dokładnie jeden bit entropii (to palindrom vs. nie jest palindromem). Nie jest ono „tak bezpieczne jak hasło 10-znakowe”, ale znacznie mniej bezpieczne niż hasło 11-znakowe.
4
Powiedziałbym, że sitonapotatopanotisprawdopodobnie znacznie mniej entropijne niż standardowe 10-literowe hasło złożone z angielskich słów. Palindormy poprawne gramatycznie są bardzo rzadkie. Byłoby to równie bezpieczne, gdybyś utworzył palindrom z 10 losowych postaci mwiovqfbzczbfqvoiwm, lub po prostu wziął słowa i uczynił palindrom częściowym nonsensem doctorwormrowrotcod. Dodaje też trochę więcej niż trochę entropii (możesz zmieniać sposób, w jaki wykonujesz palindrom; np. doctorwormrowrotcodLub doctorwormmrowrotcodlub doctorotcodwormmrowritp. Ale ogólnie palindromy to zły pomysł w pw.
dr jimbob
10

Ludzie po prostu częściej wybierają „samochód wyścigowy”, ponieważ ich hasło im się podoba . Te słowa są wysoko na wszystkich listach słów (które są używane przed brutalnym wymuszaniem). I łatwiej jest sprawdzić wszystkie palindromy niż utrzymywać listę palindromów w bibliotece sprawdzania hasła.


Niektóre hasła są świetne, a niektóre naprawdę złe.
Używamy pewnych czynników do oceny jakości hasła. Jak długość lub jakie różne znaki są używane.

W przypadku niektórych haseł czynniki te stają się mniej istotne lub zupełnie nieistotne.

To jest świetne hasło:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Ten nie tyle:

acbaacbacaabcabbbaaabcaccbbbaaac

Mimo że ma tę samą długość, jeśli obowiązują te same zasady dotyczące hasła, a ty zastosujesz je brutalnie, drugie hasło zostanie wypróbowane znacznie wcześniej niż pierwsze hasło.

Spójrzmy na to:

qwertyuiopasdfghjklzxcvbnm123456

Teraz mamy poważne hasło! Tyle, że jest to prawie najgorsze z możliwych haseł, ponieważ wszystkie litery są używane w tym samym wzorze, co pojawiają się na bardzo popularnym typie klawiatury.

Ktoś może spojrzeć na to hasło i pomyśleć, że jest super niesamowite, ponieważ wybiera je przy fałszywych założeniach (długość jest najważniejsza dla hasła).

To samo można powiedzieć o palindromach. Przede wszystkim dają fałszywe poczucie bezpieczeństwa (jak zauważa Mike), ponieważ ich długość zwiększa się po prostu przez powielenie wszystkich liter. Ale prawdziwy problem z nimi polega na tym, że są łatwe do zapamiętania i są w pewnym sensie towarem.

Der Hochstapler
źródło
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" to nie jest świetne hasło, jest okropne, ponieważ po prostu go nie pamiętasz.
o0 ”.
3
Jedynym powodem, dla którego jest to złe hasło, jest to, że wspomniałem o nim tutaj i nie jest ono już tajne. Używam tylko losowo generowanych haseł w połączeniu z rozwiązaniem jednokrotnego logowania.
Der Hochstapler
2
Wersja 10 ma 73 nowe cytaty. Więcej cytatów na bazę wiedzy przy różnych zwięzłych, niskich zamówieniach, płaci ci uprzejmie, duży wzrost dla zapalonej wiedzy nowicjuszy. Przydatne prace czekają naprzód.
Synetech,
2
xkcd.com/936
Jürgen A. Erhard
2
@OliverSalzburg Nie musisz pamiętać hasła; jest napisane na Post-it dołączonym do mojego monitora.
Ian Boyd,
0

Najprostszym sposobem na ustawienie trywialnych haseł, nawet jeśli jest to pojedynczy znak, jest ustawienie użytkownika za pomocą użytkownika root.

Joe
źródło