รหัสผ่าน Palindrome ไม่อนุญาต - เพราะอะไร

35

ฉันพยายามเปลี่ยนรหัสผ่าน Linux เป็น "sitonapotatopanotis" และได้รับข้อผิดพลาดนี้: BAD PASSWORD: is a palindrome

ทำไมกฎนี้ถึงมีอยู่?

linux  passwords 
Joe Mornin
แหล่งที่มา
ไม่มีใครนอกจากนักพัฒนาของที่pam_cracklibสามารถตอบคำถามนี้ ฉันพยายามดูmanpageและค้นหาเว็บอย่างรวดเร็ว แต่ก็ไม่มีโชค
Belmin Fernandez
2
เกือบจะเป็นไปไม่ได้เลยที่จะคิดออกว่าคนที่บล็อกมันกำลังคิดอะไรอยู่ แต่เมื่องานทั้งหมดของใครคนหนึ่งคือการคิดรหัสผ่านเราไม่ได้รับอนุญาตให้ใช้พวกเขาในที่สุดพวกเขาก็เริ่มเข้าถึงเพื่อเพิ่มสิ่งต่าง ๆ ฉันคิดว่าจะตอบคำถามของคุณ: ทำไม - มีคนใช้เวลามากเกินไปในมือ
เอียนบอยด์
นั่นเป็นรหัสผ่านที่ดีสำหรับฉันฉันเห็นแล้วแย่ลงกว่าเดิมมาก
nikhil
1
มันน้อยกว่าที่ซับซ้อนที่ต่ำกว่า (มันเป็น แต่ที่ไม่ผิดมีเพียงสิ่งเดียวกับ palindromes) แต่ที่ wordlists แตก ได้แก่ palindromes ที่พบบ่อยมากที่จะลองก่อนเดรัจฉานบังคับ ( amanaplanpanama, sitonapotatopanotis, tacocat<- สุดท้ายนี้เป็นบัตรที่พบบ่อยมากในการลูกแมวระเบิด )
Max P Magee

คำตอบ:

11

manpageสำหรับpam_cracklib(ผู้รับผิดชอบในการตรวจสอบความแข็งแรงของรหัสผ่าน) ไม่ได้ระบุเหตุผลที่นี้จะทำ:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

อย่างไรก็ตามมันไม่ยากเลยที่จะจินตนาการว่ามีซอฟต์แวร์ถอดรหัสรหัสผ่านบางตัวที่ลองใช้ palindromes

ฉันจะไม่แนะนำให้ใช้รหัสผ่านดังกล่าว แต่ขึ้นอยู่กับคุณในการประเมินว่าการแลกเปลี่ยนความปลอดภัยที่คุณพอใจกับการทำ (คุณสามารถใช้sudoหรือrootบัญชีเพื่อเปลี่ยนรหัสผ่านและมันจะช่วยให้คุณเปลี่ยนเป็นสิ่งที่คุณต้องการ)

Belmin Fernandez
แหล่งที่มา
2
ดังนั้นถ้าเขาเพิ่ม / ลบอักขระหนึ่งตัวรหัสผ่านจะถูกต้องหรือไม่
Daniel R Hicks
11
@DanH: ใช่ หากโปรแกรมแคร็กกำลังจะลอง "ใกล้กับ palindromes" มันค่อนข้างจะต้องลองทุกอย่าง
David Schwartz
10
สำหรับฉันดูเหมือนว่า palindrome ควรนับว่าถูกต้องหากครึ่งแรกนับว่าเป็นรหัสผ่านที่ถูกต้อง (แต่นั่นคือการหยิบจู้จี้แน่นอน)
Daniel R Hicks
17

เนื่องจากรหัสผ่าน palindromic 20 ตัวจะมีความปลอดภัยเท่ากับรหัสผ่าน 10 ตัวอักษรเท่านั้นโดยที่ไม่มีความเป็นเอนโทรปีใน 10 อักขระสุดท้าย ดังนั้นคุณจะได้รับความปลอดภัยที่ผิดพลาดจากการใช้รหัสผ่านที่ยาว

Mike Scott
แหล่งที่มา
11
อาจจะผิดที่นี่ แต่ความปลอดภัยที่มีประสิทธิภาพยังคงขึ้นอยู่กับวิธีที่คุณพยายามถอดรหัสรหัสผ่านดังกล่าว ผู้โจมตีทราบหรือไม่ว่ามีชุดอักขระ จำกัด ที่ใช้งานอยู่ เราทราบความยาวของรหัสผ่านหรือไม่
slhck
19
แครกเกอร์รหัสผ่านมักจะลองใช้ประโยคจากการเดาแต่ละครั้งหรือไม่
Joe Mornin
1
หืมมมก็แน่นอนเพื่อเพิ่มเอนโทรปีรหัสผ่าน อย่างไรก็ตามฉันไม่อยากจะแนะนำ ทุกอย่างขึ้นอยู่กับว่าซอฟต์แวร์แคร็กรหัสผ่านสร้างวิธีเรียงสับเปลี่ยน
Belmin Fernandez
13
รหัสผ่าน palindromic เพิ่มเอนโทรปีหนึ่งบิต (คือ palindrome vs. vs. ไม่ใช่ palindrome) ไม่เพียง "ปลอดภัยเท่ากับรหัสผ่าน 10 ตัวอักษร" แต่มันปลอดภัยน้อยกว่าตัวอักษร 11 ตัว
4
ฉันจะบอกว่าsitonapotatopanotisอาจจะมีความเกี่ยวข้องน้อยกว่ารหัสผ่านมาตรฐาน 10 ตัวอักษรที่ทำจากคำภาษาอังกฤษ palindormes ที่ถูกต้องตามหลักไวยากรณ์นั้นหายากมาก มันจะเป็นเรื่องเกี่ยวกับการรักษาความปลอดภัยถ้าคุณทำ palindrome จาก 10 ตัวอักษรแบบสุ่มหรือถ้าคุณเพียงแค่เอาคำพูดและการทำเรื่องไร้สาระส่วนหนึ่งmwiovqfbzczbfqvoiwm palindrome doctorwormrowrotcodนอกจากนี้ยังเพิ่มเอนโทรปีนิดหน่อยมากกว่าเล็กน้อย (คุณสามารถเปลี่ยนแปลงวิธีการทำ palindrome เช่นdoctorwormrowrotcodหรือdoctorwormmrowrotcodหรือdoctorotcodwormmrowrอื่น ๆ แต่โดยทั่วไป palindromes เป็นความคิดที่ไม่ดีใน pw
dr jimbob
10

คนเป็นเพียงแนวโน้มที่จะเลือก "รถแข่ง" เป็นรหัสผ่านของพวกเขาทำให้พวกเขาชอบมัน ดังนั้นคำเหล่านั้นจึงสูงขึ้นไปบนรายการคำทั้งหมด (ซึ่งใช้ก่อนการเดรัจฉานบังคับ) และง่ายกว่าที่จะตรวจสอบกับpalindromes ทั้งหมดมากกว่าเพื่อรักษารายการของ palindromes ในไลบรารีการตรวจสอบรหัสผ่าน

รหัสผ่านบางอันยอดเยี่ยมและบางรหัสก็ไม่ดีจริงๆ
เราใช้ปัจจัยบางอย่างในการตัดสินคุณภาพของรหัสผ่าน ชอบความยาวหรืออักขระที่แตกต่างกัน

สำหรับรหัสผ่านบางตัวปัจจัยเหล่านี้มีความเกี่ยวข้องน้อยลงหรือไม่เกี่ยวข้องเลย

เช่นนี้เป็นรหัสผ่านที่ดี:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

อันนี้ไม่มาก:

acbaacbacaabcabbbaaabcaccbbbaaac

แม้ว่าจะมีความยาวเดียวกันถ้ากฎรหัสผ่านเดียวกันนำมาใช้และคุณเดรัจฉานบังคับใช้รหัสผ่านที่สองจะพยายามมากเร็วกว่ารหัสผ่านครั้งแรก

ลองดูที่อันนี้:

qwertyuiopasdfghjklzxcvbnm123456

ตอนนี้เรากำลังหมุนด้วยรหัสผ่านที่ร้ายแรง! เพียงว่ามันเป็นรหัสผ่านที่แย่ที่สุดเท่าที่จะเป็นไปได้เพราะตัวอักษรทั้งหมดนั้นใช้ในรูปแบบเดียวกับที่ปรากฏบนคีย์บอร์ดที่ได้รับความนิยมมาก

บางคนอาจดูรหัสผ่านนั้นและคิดว่ามันยอดเยี่ยมมากเพราะเขาเลือกใช้ภายใต้สมมติฐานที่ผิดพลาด (ความยาวเป็นสิ่งสำคัญที่สุดสำหรับรหัสผ่าน)

อาจกล่าวได้ว่าเป็น Palindromes ประการแรกพวกเขาให้ความรู้สึกที่ผิด ๆ เกี่ยวกับความปลอดภัย (ตามที่ไมค์บันทึกไว้) เพราะความยาวของพวกเขาเพิ่มขึ้นเพียงแค่ทำซ้ำตัวอักษรทั้งหมด แต่ปัญหาที่แท้จริงของพวกเขาก็คือพวกเขาจำได้ง่ายและเป็นสินค้าโภคภัณฑ์

Der Hochstapler
แหล่งที่มา
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" นี่ไม่ใช่รหัสผ่านที่ดีมันเป็นรหัสที่น่ากลัวเพราะคุณจำไม่ได้
o0 '
3
เหตุผลเดียวที่รหัสผ่านไม่ถูกต้องเป็นเพราะฉันพูดถึงที่นี่และมันไม่เป็นความลับอีกต่อไป ฉันใช้รหัสผ่านที่สร้างแบบสุ่มเท่านั้นรวมกับโซลูชันการลงชื่อเข้าใช้ครั้งเดียวเท่านั้น
Der Hochstapler
2
เวอร์ชัน 10 มี 73 คำพูดใหม่ คำพูดเพิ่มเติมต่อฐานความรู้ภายใต้คำสั่งสั้น ๆ คำสั่งซื้อต่ำจ่ายให้คุณอย่างอ่อนโยนการเติบโตที่ยิ่งใหญ่สำหรับความรู้ที่กระตือรือร้น งานที่มีประโยชน์รอไปข้างหน้า
Synetech
2
Jürgen A. Erhard
2
@OliverSalzburg คุณไม่จำเป็นต้องจำรหัสผ่าน มันเขียนไว้ในโพสต์มันที่แนบมากับจอภาพของฉัน
Ian Boyd
0

วิธีง่าย ๆ ในการตั้งรหัสผ่านที่ไม่สำคัญแม้ว่าจะเป็นอักขระตัวเดียวก็ตามก็คือการใช้ผู้ใช้รูทเพื่อตั้งรหัสผ่าน

โจ
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.