Palindrome-Passwörter nicht zulässig - warum?

35

Ich habe versucht, ein Linux-Passwort in "sitonapotatopanotis" zu ändern und habe folgenden Fehler erhalten: BAD PASSWORD: is a palindrome

Warum gibt es diese Regel?

linux  passwords 
Joe Mornin
quelle
Niemand außer den Entwicklern von pam_cracklibkonnte darauf antworten. Ich habe versucht, das zu betrachten manpageund habe eine schnelle Websuche gemacht, aber kein Glück.
Belmin Fernandez
2
Es ist fast unmöglich herauszufinden, was die Person, die es blockiert hat, gedacht hat. Wenn sich jemand Passwörter ausdenken soll, die wir nicht verwenden dürfen, greift er schließlich nach weiteren Dingen, die er hinzufügen kann. Ich denke, um Ihre Frage zu beantworten: Warum? - Jemand hatte zu viel Zeit.
Ian Boyd
Das scheint mir ein gutes Passwort zu sein, ich habe viel schlimmeres gesehen.
Nikhil
1
Es ist weniger , dass die Komplexität geringer ist (es ist, aber das ist nicht das einzige , was falsch mit Palindrome), aber das Knacken Wortlisten viele gemeinsame Palindrome sind vor zu versuchen , Brute-Forcing ( amanaplanpanama, sitonapotatopanotis, tacocat<- das letzte ist eine sehr häufige Karte in Explodierende Kätzchen ).
Max P Magee

Antworten:

11

Das manpagefür pam_cracklib(verantwortlich für die Prüfung der Passwortstärke) gibt nicht an, warum dies getan wird:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Es ist jedoch nicht schwer vorstellbar, dass es einige Software zum Knacken von Passwörtern gibt, die Palindrome ausprobieren.

Ich würde die Verwendung eines solchen Passworts nicht empfehlen, aber es liegt an Ihnen, zu beurteilen, welche Sicherheitskompromisse Sie gerne eingehen (Sie können das Passwort mit sudooder unter einem rootKonto ändern, und Sie können es nach Belieben ändern).

Belmin Fernandez
quelle
2
Wenn er also ein Zeichen addiert / subtrahiert, ist das Passwort in Ordnung?
Daniel R Hicks
11
@ DanH: Ja. Wenn ein Cracking-Programm "Near Palindromes" ausprobieren will, muss es so ziemlich alles ausprobieren.
David Schwartz
10
Es scheint mir, dass ein Palindrom als gültig gezählt werden sollte, wenn die erste Hälfte als gültiges Passwort zählt. (Aber das ist natürlich ein Trottel).
Daniel R Hicks
17

Da ein 20-stelliges palindromisches Kennwort nur so sicher ist wie ein 10-stelliges Kennwort, gibt es in den letzten 10 Zeichen im Wesentlichen keine zusätzliche Entropie. Wenn Sie also ein langes Passwort haben, bekommen Sie ein falsches Sicherheitsgefühl.

Mike Scott
quelle
11
Könnte hier falsch sein, aber die effektive Sicherheit hängt immer noch davon ab, wie Sie versuchen, ein solches Passwort zu knacken. Weiß der Angreifer, dass ein begrenzter Zeichensatz verwendet wird? Kennen wir die Passwortlänge?
Slhck
19
Versuchen Passwort-Cracker in der Regel Palindrome für jede Vermutung?
Joe Mornin
1
Hm, es trägt sicherlich zur Passwortentropie bei . Ich würde es jedoch auf keinen Fall empfehlen. Es hängt alles davon ab, wie die Software zum Knacken von Passwörtern Permutationen generiert.
Belmin Fernandez
13
Ein palindromisches Passwort fügt genau ein Bit Entropie hinzu (ist Palindrom vs. ist nicht Palindrom). Es ist nicht "nur so sicher wie ein 10-stelliges Passwort", sondern viel weniger sicher als ein 11-stelliges Passwort.
4
Ich würde sagen, dass es sitonapotatopanotiswahrscheinlich bedeutend weniger entropisch ist als ein Standardkennwort aus 10 Buchstaben, das aus englischen Wörtern besteht. Grammatisch korrekte Palindormes sind sehr selten. Es wäre ungefähr so ​​sicher, wenn Sie ein Palindrom aus 10 zufälligen Zeichen machen würden mwiovqfbzczbfqvoiwm, oder wenn Sie nur Wörter nehmen und den Unsinn des Palindrom-Teils machen würden doctorwormrowrotcod. Es fügt auch ein wenig mehr als ein bisschen Entropie hinzu (Sie können variieren, wie Sie das Palindrom machen; z. B. doctorwormrowrotcododer doctorwormmrowrotcododer doctorotcodwormmrowrusw.). Aber im Allgemeinen sind Palindrome eine schlechte Idee in pw.
dr. Jimbob
10

Leute wählen einfach eher "Rennwagen" als ihr Passwort, weil sie es mögen . Diese Wörter stehen also ganz oben auf allen Wortlisten (die vor dem Brute-Forcing verwendet werden). Und es ist einfacher, alle Palindrome zu überprüfen, als eine Liste von Palindromen in der Kennwortprüfungsbibliothek zu führen.

Einige Passwörter sind großartig und andere sind wirklich schlecht.
Wir verwenden bestimmte Faktoren, um die Qualität eines Passworts zu beurteilen. Wie Länge oder welche unterschiedlichen Zeichen werden verwendet.

Bei einigen Passwörtern werden diese Faktoren weniger relevant oder überhaupt nicht relevant.

Dies ist ein großartiges Passwort:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Dieser, nicht so sehr:

acbaacbacaabcabbbaaabcaccbbbaaac

Obwohl es die gleiche Länge hat, wird das zweite Passwort viel früher als das erste Passwort versucht, wenn dieselben Passwortregeln gelten und Sie es brutal erzwingen .

Schauen wir uns diesen an:

qwertyuiopasdfghjklzxcvbnm123456

Jetzt haben wir ein ernstes Passwort! Nur, dass es fast das schlechteste Passwort ist, das es je gab, da alle Buchstaben in demselben Muster verwendet werden, wie sie auf einem sehr beliebten Tastaturtyp vorkommen.

Jemand könnte sich dieses Passwort ansehen und es für super toll halten, weil er es unter falschen Annahmen auswählt (wobei die Länge für ein Passwort am wichtigsten ist).

Gleiches gilt für Palindrome. Erstens geben sie ein falsches Sicherheitsgefühl (wie Mike bemerkt), weil ihre Länge durch einfaches Duplizieren aller Buchstaben erhöht wird. Das eigentliche Problem bei ihnen ist jedoch, dass sie leicht zu merken sind und etwas von einer Ware sind.

Der Hochstapler
quelle
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" dies ist kein tolles passwort, es ist schrecklich, da man sich einfach nicht daran erinnern kann.
o0 '.
3
Der einzige Grund, warum das ein falsches Passwort ist, ist, dass ich es hier erwähnt habe und es nicht mehr geheim ist. Ich verwende nur zufällig generierte Passwörter in Kombination mit einer Single-Sign-On-Lösung.
Der Hochstapler
2
Version 10 enthält 73 neue Anführungszeichen. Mehr Zitate pro Wissensbasis bei unterschiedlich knappen, niedrigen Aufträgen, zahlt sich freundlicherweise aus, großes Wachstum für das Wissen von Neulingen. Nützliche Jobs warten auf Sie.
Synetech
2
Jürgen A. Erhard
2
@OliverSalzburg Sie müssen sich das Passwort nicht merken. Es steht auf dem Post-it, das an meinem Monitor angebracht ist.
Ian Boyd
0

Selbst wenn es sich um ein einzelnes Zeichen handelt, können Sie auf einfache Weise einfache Kennwörter festlegen, indem Sie den Benutzer root zum Festlegen des Kennworts verwenden.

Joe
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.