Senhas do Palindrome não permitidas - por quê?

35

Tentei alterar uma senha do Linux para "sitonapotatopanotis" e obtive este erro: BAD PASSWORD: is a palindrome

Por que essa regra existe?

linux  passwords 
Joe Mornin
fonte
Ninguém, a não ser os desenvolvedores, pam_cracklibpoderia responder a isso. Eu tentei olhar para o manpagee fiz uma pesquisa rápida na web, mas sem sorte.
Belmin Fernandez
2
É quase impossível descobrir o que a pessoa que o bloqueou estava pensando. Mas quando o trabalho inteiro de alguém é criar senhas que não temos permissão para usar, elas acabam começando a buscar mais coisas para adicionar. Penso em responder à sua pergunta: por quê? - alguém tinha muito tempo em suas mãos.
Ian Boyd
Parece-me uma boa senha, já vi muito pior.
Nikhil
11
É menos que a complexidade é menor (que é, mas isso não é a única coisa de errado com palíndromos), mas que wordlists rachaduras incluem muitos palindromes comuns para tentar antes de brute-forcing ( amanaplanpanama, sitonapotatopanotis, tacocat<- este último é um cartão muito frequente em Gatinhos explodindo ).
Max P Magee

Respostas:

11

O manpagefor pam_cracklib(responsável pela verificação da força da senha) não especifica por que isso é feito:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

No entanto, não é difícil imaginar que existem alguns softwares de quebra de senha que tentam palíndromos.

Eu não recomendaria o uso dessa senha, mas cabe a você avaliar quais trocas de segurança você está acostumado a fazer (você pode usar sudoou rootconta para alterar a senha e isso permitirá que você a altere para o que quiser).

Belmin Fernandez
fonte
2
Então, se ele adicionasse / subtraísse um caractere, a senha seria adequada?
Daniel R Hicks
11
@ DanH: Sim. Se um programa de cracking tenta "quase palíndromos", praticamente precisa tentar de tudo.
22412 David Schwartz
10
Parece-me que um palíndromo deve ser considerado válido se a primeira metade contar como uma senha válida. (Mas isso é óbvio, é claro).
Daniel R Hicks
17

Como uma senha palíndrica de 20 caracteres é tão segura quanto uma senha de 10 caracteres - não há essencialmente entropia extra nos últimos 10 caracteres. Então, você está tendo uma falsa sensação de segurança por ter uma senha longa.

Mike Scott
fonte
11
Pode estar errado aqui, mas a segurança efetiva ainda depende de como você tenta quebrar essa senha. O atacante sabe que há um conjunto de caracteres limitado sendo usado? Sabemos o tamanho da senha?
Slhck
19
Os crackers de senha normalmente tentam palíndromos de cada palpite?
31512 Joe Mornin
11
Hm, isso certamente aumenta a entropia da senha . No entanto, eu certamente não recomendaria. Tudo depende de como o software de quebra de senha gera permutações.
Belmin Fernandez 02/02
13
Uma senha palindrômica adiciona exatamente um bit de entropia (é palíndromo vs. não é palíndromo). Não é "apenas tão seguro quanto uma senha de 10 caracteres", mas é muito menos seguro que uma senha de 11 caracteres.
4
Eu diria que sitonapotatopanotisprovavelmente é menos entrópico do que uma senha padrão de 10 letras feita com palavras em inglês. Palindormes gramaticalmente corretos são muito raros. Seria tão seguro se você fizesse um palíndromo com 10 caracteres aleatórios mwiovqfbzczbfqvoiwm, ou se apenas pegasse palavras e fizesse com que o palíndromo fizesse parte de um absurdo doctorwormrowrotcod. Também acrescenta um pouco mais do que um pouco de entropia (você pode variar como você fazer o palíndromo; por exemplo, doctorwormrowrotcodou doctorwormmrowrotcodou doctorotcodwormmrowr, etc. Mas em palíndromos gerais são uma má idéia em pw.
dr jimbob
10

É mais provável que as pessoas escolham "carro de corrida" porque sua senha é o que eles mais gostam . Portanto, essas palavras estão no topo de todas as listas de palavras (que são usadas antes de qualquer força bruta). E é mais simples verificar em todos os palíndromos do que manter uma lista de palíndromos na biblioteca de verificação de senhas.

Algumas senhas são ótimas e outras muito ruins.
Usamos certos fatores para julgar a qualidade de uma senha. Como comprimento ou que caracteres diferentes são usados.

Para algumas senhas, esses fatores se tornam menos relevantes ou não são relevantes.

Como, essa é uma ótima senha:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Este, não muito:

acbaacbacaabcabbbaaabcaccbbbaaac

Mesmo que tenha o mesmo comprimento, se as mesmas regras de senha se aplicarem e você forçar com força bruta, a segunda senha será tentada muito mais cedo que a primeira senha.

Vamos dar uma olhada neste:

qwertyuiopasdfghjklzxcvbnm123456

Agora, estamos rodando com uma senha séria! Só que é quase a pior senha possível de todos os tempos, porque todas as letras são usadas no mesmo padrão que aparecem em um tipo de teclado muito popular.

Alguém pode olhar para essa senha e pensar que é super impressionante, porque ele a escolhe sob suposições falsas (o tamanho é mais importante para uma senha).

O mesmo poderia ser dito para os palíndromos. Antes de tudo, eles dão uma falsa sensação de segurança (como observa Mike) porque seu comprimento é aumentado simplesmente duplicando todas as letras. Mas o verdadeiro problema com eles é que eles são fáceis de lembrar e um pouco de uma mercadoria.

Der Hochstapler
fonte
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" essa não é uma ótima senha, é uma senha terrível, pois você simplesmente não consegue se lembrar dela.
o0 '.
3
A única razão pela qual essa senha é ruim é apenas porque eu a mencionei aqui e ela não é mais segredo. Eu só uso senhas geradas aleatoriamente combinadas com uma solução de logon único.
Der Hochstapler
2
A versão 10 possui 73 novas cotações. Mais cotações por base de conhecimento, sob ordens variadas e concisas, pagam gentilmente, um grande crescimento pelo conhecimento aguçado dos novatos. Trabalhos úteis aguardam adiante.
Synetech 03/03
2
Jürgen A. Erhard
2
@OliverSalzburg Você não precisa se lembrar da senha; está escrito no Post-it anexado ao meu monitor.
21812 Ian Boyd
0

A maneira mais fácil de definir senhas triviais, mesmo que seja um único caractere, é usando o usuário root para definir a senha.

Joe
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.