Palindrome şifrelerine izin verilmedi - neden?

35

Bir Linux şifresini "sitonapotatopanotis" olarak değiştirmeye çalıştım ve şu hatayı aldım: BAD PASSWORD: is a palindrome

Bu kural neden var?

linux  passwords 
Joe Mornin
kaynak
Geliştiriciler dışında kimse pam_cracklibbuna cevap veremezdi. Bakmayı denedim manpageve hızlı bir web araması yaptım ama şansım yok.
Belmin Fernandez
2
Onu engelleyen kişinin ne düşündüğünü anlamak neredeyse imkansız. Ancak birisinin tüm işi, kullanmamıza izin verilmeyen şifreleri düşünmek olduğunda, sonunda daha fazla şeyler eklemek için ulaşmaya başlarlar. sorunuza cevap vermeyi düşünüyorum: Neden? - birisinin ellerinde çok fazla zaman vardı.
Ian Boyd
Bu bana iyi bir şifre gibi görünüyor, çok daha kötü gördüm.
nikhil
1
Bu karmaşıklık düşüktür (o, ama bu palindrom ile tek şey yanlış değil) çatlama wordlists önce denemek için birçok ortak palindrom içerir, ancak bu daha az olduğunu zorlaması ( amanaplanpanama, sitonapotatopanotis, tacocat<- Bu sonuncusu çok sık kart olduğunu Yavru Patlayanlar ).
Max P Magee,

Yanıtlar:

11

manpageİçin pam_cracklibbu yapılır niçin (şifre gücü denetimi sorumlu) belirtmez:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Ancak, palindromları deneyen bazı şifre kırma yazılımları olduğunu hayal etmek zor değil.

Böyle bir şifre kullanılmasını tavsiye etmem ama bu size ne gibi güvenlik avantajları sağladığınızı değerlendirir ( şifreyi değiştirmek için kullanabilirsiniz sudoveya roothesap kullanabilirsiniz , şifreyi istediğiniz şekilde değiştirmenize izin verir).

Belmin Fernandez
kaynak
2
Yani bir karakter ekledi / çıkardıysa şifre iyi olur mu?
Daniel R Hicks
11
@DanH: Evet. Bir çatlama programı "palindromes" yakınında denenecekse, hemen hemen her şeyi denemek zorundadır.
David Schwartz
10
Bana göre, ilk yarı geçerli bir şifre olarak sayılıyorsa bir palindromun geçerli sayılması gerekir. (Ama elbette bu nitel toplama).
Daniel R Hicks
17

20 karakterlik palindromik bir şifre sadece 10 karakterlik bir şifre kadar güvenli olduğundan, aslında son 10 karakterde fazladan entropi yoktur. Demek ki uzun bir parolaya sahip olmaktan yanlış bir güvenlik hissi alıyorsun.

Mike Scott
kaynak
11
Burada yanlış olabilir, ancak etkin güvenlik hala böyle bir şifreyi nasıl kırmaya çalıştığınıza bağlıdır. Saldırgan, kullanılan sınırlı bir karakter setinin olduğunu biliyor mu? Şifre uzunluğunu biliyor muyuz?
slhck
19
Şifre kırıcılar tipik olarak her tahminin palindromunu deniyor mu?
Joe Mornin
1
Hm, kesinlikle şifre entropisine ekler . Ancak, kesinlikle tavsiye etmem. Hepsi şifre kırma yazılımının permütasyon üretme şekline bağlıdır.
Belmin Fernandez
13
Palindromik bir parola, tam olarak bir bit entropi ekler (palindrom vs. palindrom değildir). "Sadece 10 karakterlik bir şifre kadar güvenli" değil, 11 karakterden daha az güvenli.
4
sitonapotatopanotisİngilizce kelimelerden yapılan standart 10 harflik bir şifreden muhtemelen daha az entropik olduğunu söyleyebilirim . Dilbilgisel olarak doğru palindormalar çok nadirdir. 10 rasgele karakterden bir palindrom mwiovqfbzczbfqvoiwmyaptıysanız ya da sadece kelimeler alıp palindrome parçasını saçmaladıysanız, bu kadar güvenli olurdu doctorwormrowrotcod. Ayrıca (sen palindrom nasıl değişebilir fazla entropi biraz biraz ekler; örneğin, doctorwormrowrotcodya da doctorwormmrowrotcodya doctorotcodwormmrowr., Vb Ancak genel palindrom pw de kötü bir fikir
dr jimbob
10

İnsanların "yarış arabasını" seçmeleri daha muhtemeldir çünkü şifreleri beğenir . Bu yüzden bu kelimeler tüm kelime listelerinde yüksektir (bunlar herhangi bir kabadayıcı zorlamadan önce kullanılır). Ve tüm palindromlara karşı kontrol etmek , parola kontrol kütüphanesinde bir palindrom listesini tutmaktan daha kolaydır .

Bazı şifreler harika, bazıları gerçekten kötü.
Bir şifrenin kalitesini değerlendirmek için bazı faktörleri kullanıyoruz. Uzunluk veya ne farklı karakterlerin kullanıldığı gibi.

Bazı şifreler için bu faktörler daha az alakalı olur veya hiç alakalı olmaz.

Gibi, bu harika bir şifre:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Bu, çok değil:

acbaacbacaabcabbbaaabcaccbbbaaac

Aynı uzunlukta olmasına rağmen, aynı şifre kuralları geçerliyse ve zorla uygularsanız, ikinci şifre ilk şifreden çok daha kısa sürede denenir .

Şuna bir bakalım:

qwertyuiopasdfghjklzxcvbnm123456

Şimdi ciddi bir şifre ile geçiyoruz! Sadece neredeyse mümkün olan en kötü şifre, çünkü tüm harfler çok popüler bir klavye tipinde göründüğü şekliyle kullanılıyor.

Birisi bu şifreye bakabilir ve süper harika olduğunu düşünebilir çünkü yanlış varsayımlar altında seçer (uzunluk bir şifre için en önemli olan).

Aynı şey palindromlar için de söylenebilir. Her şeyden önce, yanlış bir güvenlik hissi veriyorlar (Mike'ın belirttiği gibi) çünkü uzunlukları sadece tüm harfleri kopyalayarak arttırılıyor. Ancak onlarla ilgili asıl sorun, hatırlamaları kolay ve bir miktar metadır.

Der Hochstapler
kaynak
12
Sadece beri -1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" bu büyük bir parola değil, korkunç bir biri olamaz hatırlıyorum.
'.
3
Bunun kötü bir şifre olmasının tek nedeni, burada bahsettiğim ve artık sır değil. Sadece tek bir oturum açma çözümüyle birlikte rastgele oluşturulmuş şifreleri kullanıyorum.
Der Hochstapler
2
10. sürümde 73 yeni teklif var. Değişken özlü, düşük siparişler altındaki bilgi tabanı başına daha fazla teklif, keskin acemilerin bilgisi için nazikçe ödersiniz. Yararlı işler ileriye gitmeyi bekler.
Synetech
2
Jürgen A. Erhard
2
@OliverSalzburg Şifreyi hatırlamak zorunda değilsiniz; monitörüme bağlı Post-it'e yazılmıştır.
Ian Boyd,
0

Önemsiz şifreler belirlemenin kolay yolu, tek bir karakter olsa bile, şifreyi ayarlamak için root kullanıcısı kullanmaktır.

Joe
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.