Nikt poza twórcami nie pam_cracklibmógł na to odpowiedzieć. Próbowałem spojrzeć na manpagei zrobiłem szybkie wyszukiwanie w sieci, ale bez powodzenia.
Belmin Fernandez
2
To prawie niemożliwe, aby dowiedzieć się, co myśli osoba, która go zablokowała. Ale kiedy cała praca polega na wymyślaniu haseł, których nie wolno nam używać, w końcu zaczynają sięgać po więcej rzeczy do dodania. myślę, aby odpowiedzieć na twoje pytanie: dlaczego? - ktoś miał zbyt dużo czasu na rękach.
Ian Boyd
To wydaje mi się dobrym hasłem, widziałem znacznie gorzej.
nikhil
1
To mniej, że złożoność jest mniejsza (to jest, ale nie jest to jedyna rzecz złego palindromów), ale że pękanie list słów zawierają wiele wspólnych Palindromes aby spróbować przed brute-zmuszając ( amanaplanpanama, sitonapotatopanotis, tacocat<- ta ostatnia jest bardzo częstym karty w Eksplodujące kocięta ).
Max P Magee
Odpowiedzi:
11
manpageDla pam_cracklib(odpowiedzialny za sprawdzanie wytrzymałości hasło) nie precyzuje, dlaczego odbywa się to:
The strength checks works in the following manner: at first the Cracklib routine is
called to check if the password is part of a dictionary; if this is not the case an
additional set of strength checks is done. These checks are:
Palindrome
Is the new password a palindrome?
Jednak nietrudno wyobrazić sobie, że istnieje oprogramowanie do łamania haseł, które próbuje palindromów.
Nie zalecałbym używania takiego hasła, ale to od Ciebie zależy, jakie kompromisy w zakresie bezpieczeństwa są dla Ciebie wygodne (możesz użyć konta sudolub rootkonta, aby zmienić hasło, a to pozwoli Ci zmienić je na dowolne).
Więc jeśli doda / odejmie jeden znak, hasło będzie w porządku?
Daniel R Hicks,
11
@DanH: Tak. Jeśli program crackujący spróbuje „w pobliżu palindromów”, musi prawie wszystko wypróbować.
David Schwartz
10
Wydaje mi się, że palindrom powinien być liczony jako ważny, jeśli pierwsza połowa liczy się jako prawidłowe hasło. (Ale to oczywiście zbieranie nitów).
Daniel R Hicks,
17
Ponieważ 20-znakowe hasło palindromowe jest tak bezpieczne, jak 10-znakowe hasło - zasadniczo nie ma dodatkowej entropii w ostatnich 10 znakach. Długie hasło zapewnia fałszywe poczucie bezpieczeństwa.
Może się tu mylić, ale skuteczne bezpieczeństwo nadal zależy od tego, jak spróbujesz złamać takie hasło. Czy atakujący wie, że używany jest ograniczony zestaw znaków? Czy znamy długość hasła?
slhck
19
Czy crackerzy haseł zwykle próbują palindromów przy każdym zgadywaniu?
Joe Mornin
1
Hm, z pewnością dodaje się do entropii hasła . Jednak na pewno nie poleciłbym tego. Wszystko zależy od tego, jak oprogramowanie do łamania haseł generuje permutacje.
Belmin Fernandez
13
Hasło palindromowe dodaje dokładnie jeden bit entropii (to palindrom vs. nie jest palindromem). Nie jest ono „tak bezpieczne jak hasło 10-znakowe”, ale znacznie mniej bezpieczne niż hasło 11-znakowe.
4
Powiedziałbym, że sitonapotatopanotisprawdopodobnie znacznie mniej entropijne niż standardowe 10-literowe hasło złożone z angielskich słów. Palindormy poprawne gramatycznie są bardzo rzadkie. Byłoby to równie bezpieczne, gdybyś utworzył palindrom z 10 losowych postaci mwiovqfbzczbfqvoiwm, lub po prostu wziął słowa i uczynił palindrom częściowym nonsensem doctorwormrowrotcod. Dodaje też trochę więcej niż trochę entropii (możesz zmieniać sposób, w jaki wykonujesz palindrom; np. doctorwormrowrotcodLub doctorwormmrowrotcodlub doctorotcodwormmrowritp. Ale ogólnie palindromy to zły pomysł w pw.
dr jimbob
10
Ludzie po prostu częściej wybierają „samochód wyścigowy”, ponieważ ich hasło im się podoba . Te słowa są wysoko na wszystkich listach słów (które są używane przed brutalnym wymuszaniem). I łatwiej jest sprawdzić wszystkie palindromy niż utrzymywać listę palindromów w bibliotece sprawdzania hasła.
Niektóre hasła są świetne, a niektóre naprawdę złe.
Używamy pewnych czynników do oceny jakości hasła. Jak długość lub jakie różne znaki są używane.
W przypadku niektórych haseł czynniki te stają się mniej istotne lub zupełnie nieistotne.
To jest świetne hasło:
v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF
Ten nie tyle:
acbaacbacaabcabbbaaabcaccbbbaaac
Mimo że ma tę samą długość, jeśli obowiązują te same zasady dotyczące hasła, a ty zastosujesz je brutalnie, drugie hasło zostanie wypróbowane znacznie wcześniej niż pierwsze hasło.
Spójrzmy na to:
qwertyuiopasdfghjklzxcvbnm123456
Teraz mamy poważne hasło! Tyle, że jest to prawie najgorsze z możliwych haseł, ponieważ wszystkie litery są używane w tym samym wzorze, co pojawiają się na bardzo popularnym typie klawiatury.
Ktoś może spojrzeć na to hasło i pomyśleć, że jest super niesamowite, ponieważ wybiera je przy fałszywych założeniach (długość jest najważniejsza dla hasła).
To samo można powiedzieć o palindromach. Przede wszystkim dają fałszywe poczucie bezpieczeństwa (jak zauważa Mike), ponieważ ich długość zwiększa się po prostu przez powielenie wszystkich liter. Ale prawdziwy problem z nimi polega na tym, że są łatwe do zapamiętania i są w pewnym sensie towarem.
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" to nie jest świetne hasło, jest okropne, ponieważ po prostu go nie pamiętasz.
o0 ”.
3
Jedynym powodem, dla którego jest to złe hasło, jest to, że wspomniałem o nim tutaj i nie jest ono już tajne. Używam tylko losowo generowanych haseł w połączeniu z rozwiązaniem jednokrotnego logowania.
Der Hochstapler
2
Wersja 10 ma 73 nowe cytaty. Więcej cytatów na bazę wiedzy przy różnych zwięzłych, niskich zamówieniach, płaci ci uprzejmie, duży wzrost dla zapalonej wiedzy nowicjuszy. Przydatne prace czekają naprzód.
pam_cracklib
mógł na to odpowiedzieć. Próbowałem spojrzeć namanpage
i zrobiłem szybkie wyszukiwanie w sieci, ale bez powodzenia.amanaplanpanama
,sitonapotatopanotis
,tacocat
<- ta ostatnia jest bardzo częstym karty w Eksplodujące kocięta ).Odpowiedzi:
manpage
Dlapam_cracklib
(odpowiedzialny za sprawdzanie wytrzymałości hasło) nie precyzuje, dlaczego odbywa się to:Jednak nietrudno wyobrazić sobie, że istnieje oprogramowanie do łamania haseł, które próbuje palindromów.
Nie zalecałbym używania takiego hasła, ale to od Ciebie zależy, jakie kompromisy w zakresie bezpieczeństwa są dla Ciebie wygodne (możesz użyć konta
sudo
lubroot
konta, aby zmienić hasło, a to pozwoli Ci zmienić je na dowolne).źródło
Ponieważ 20-znakowe hasło palindromowe jest tak bezpieczne, jak 10-znakowe hasło - zasadniczo nie ma dodatkowej entropii w ostatnich 10 znakach. Długie hasło zapewnia fałszywe poczucie bezpieczeństwa.
źródło
sitonapotatopanotis
prawdopodobnie znacznie mniej entropijne niż standardowe 10-literowe hasło złożone z angielskich słów. Palindormy poprawne gramatycznie są bardzo rzadkie. Byłoby to równie bezpieczne, gdybyś utworzył palindrom z 10 losowych postacimwiovqfbzczbfqvoiwm
, lub po prostu wziął słowa i uczynił palindrom częściowym nonsensemdoctorwormrowrotcod
. Dodaje też trochę więcej niż trochę entropii (możesz zmieniać sposób, w jaki wykonujesz palindrom; np.doctorwormrowrotcod
Lubdoctorwormmrowrotcod
lubdoctorotcodwormmrowr
itp. Ale ogólnie palindromy to zły pomysł w pw.Ludzie po prostu częściej wybierają „samochód wyścigowy”, ponieważ ich hasło im się podoba . Te słowa są wysoko na wszystkich listach słów (które są używane przed brutalnym wymuszaniem). I łatwiej jest sprawdzić wszystkie palindromy niż utrzymywać listę palindromów w bibliotece sprawdzania hasła.
Niektóre hasła są świetne, a niektóre naprawdę złe.
Używamy pewnych czynników do oceny jakości hasła. Jak długość lub jakie różne znaki są używane.
W przypadku niektórych haseł czynniki te stają się mniej istotne lub zupełnie nieistotne.
To jest świetne hasło:
Ten nie tyle:
Mimo że ma tę samą długość, jeśli obowiązują te same zasady dotyczące hasła, a ty zastosujesz je brutalnie, drugie hasło zostanie wypróbowane znacznie wcześniej niż pierwsze hasło.
Spójrzmy na to:
Teraz mamy poważne hasło! Tyle, że jest to prawie najgorsze z możliwych haseł, ponieważ wszystkie litery są używane w tym samym wzorze, co pojawiają się na bardzo popularnym typie klawiatury.
Ktoś może spojrzeć na to hasło i pomyśleć, że jest super niesamowite, ponieważ wybiera je przy fałszywych założeniach (długość jest najważniejsza dla hasła).
To samo można powiedzieć o palindromach. Przede wszystkim dają fałszywe poczucie bezpieczeństwa (jak zauważa Mike), ponieważ ich długość zwiększa się po prostu przez powielenie wszystkich liter. Ale prawdziwy problem z nimi polega na tym, że są łatwe do zapamiętania i są w pewnym sensie towarem.
źródło
Najprostszym sposobem na ustawienie trywialnych haseł, nawet jeśli jest to pojedynczy znak, jest ustawienie użytkownika za pomocą użytkownika root.
źródło