Kata sandi Palindrome tidak diizinkan — mengapa?

35

Saya mencoba mengubah kata sandi Linux menjadi "sitonapotatopanotis" dan mendapatkan kesalahan ini: BAD PASSWORD: is a palindrome

Mengapa aturan ini ada?

linux  passwords 
Joe Mornin
sumber
Tidak ada seorang pun selain para pengembang yang pam_cracklibdapat menjawab ini. Saya mencoba melihat manpagedan melakukan pencarian web cepat tetapi tidak berhasil.
Belmin Fernandez
2
Hampir mustahil untuk mengetahui apa yang dipikirkan orang yang memblokirnya. Tetapi ketika seluruh pekerjaan seseorang adalah memikirkan kata sandi yang tidak diizinkan untuk kami gunakan, mereka akhirnya mulai mencari lebih banyak hal untuk ditambahkan. Saya pikir untuk menjawab pertanyaan Anda: Mengapa? - seseorang memiliki terlalu banyak waktu di tangan mereka.
Ian Boyd
Itu sepertinya kata sandi yang baik bagi saya, saya telah melihat jauh lebih buruk.
nikhil
1
Ini kurang bahwa kompleksitas rendah (itu, tapi itu bukan satu-satunya hal yang salah dengan palindrom), tapi itu retak daftar kata mencakup banyak palindrom umum untuk mencoba sebelum brute-memaksa ( amanaplanpanama, sitonapotatopanotis, tacocat<- yang terakhir ini adalah kartu sangat sering di Meledak Anak Kucing ).
Max P Magee

Jawaban:

11

The manpagefor pam_cracklib(bertanggung jawab untuk memeriksa kekuatan kata sandi) tidak menentukan mengapa ini dilakukan:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Namun, tidak sulit untuk membayangkan bahwa ada beberapa perangkat lunak peretas kata sandi yang mencoba palindrom.

Saya tidak akan merekomendasikan penggunaan kata sandi seperti itu tetapi terserah kepada Anda untuk mengevaluasi pertukaran keamanan apa yang Anda rasa nyaman (Anda bisa menggunakan sudoatau rootakun untuk mengubah kata sandi dan itu akan memungkinkan Anda untuk mengubahnya ke apa pun yang Anda inginkan).

Belmin Fernandez
sumber
2
Jadi jika dia menambahkan / mengurangi satu karakter, kata sandi akan baik-baik saja?
Daniel R Hicks
11
@DanH: Ya. Jika sebuah program cracking akan mencoba "near palindromes", cukup banyak yang harus mencoba semuanya.
David Schwartz
10
Menurut saya palindrome harus dianggap valid jika paruh pertama dianggap sebagai kata sandi yang valid. (Tapi itu nit-picking, tentu saja).
Daniel R Hicks
17

Karena kata sandi palindromik 20 karakter hanya seaman kata sandi 10 karakter - pada dasarnya tidak ada entropi tambahan dalam 10 karakter terakhir. Jadi Anda mendapatkan rasa aman yang salah karena memiliki kata sandi yang panjang.

Mike Scott
sumber
11
Mungkin salah di sini, tetapi keamanan efektif masih tergantung pada bagaimana Anda mencoba memecahkan kata sandi tersebut. Apakah penyerang tahu ada set karakter terbatas yang digunakan? Apakah kita tahu panjang kata sandi?
slhck
19
Apakah cracker kata sandi biasanya mencoba palindrom dari setiap tebakan?
Joe Mornin
1
Hm, itu tentu saja menambah entropi kata sandi . Namun, saya pasti tidak akan merekomendasikannya. Itu semua tergantung pada bagaimana perangkat lunak peretas kata sandi menghasilkan permutasi.
Belmin Fernandez
13
Kata sandi palindromik menambahkan sedikit entropi (apakah palindrom vs bukan palindrom). Ini bukan "hanya seaman kata sandi 10-karakter", tetapi jauh lebih aman daripada 11 karakter.
4
Saya akan mengatakan sitonapotatopanotismungkin secara signifikan kurang entropis daripada kata sandi standar 10 huruf yang dibuat dari kata-kata bahasa Inggris. Palindorm yang benar secara tata bahasa sangat jarang. Akan lebih aman jika Anda membuat palindrome dari 10 karakter acak mwiovqfbzczbfqvoiwm, atau jika Anda hanya mengambil kata-kata dan membuat palindrom menjadi omong kosong doctorwormrowrotcod. Juga menambahkan sedikit lebih dari sedikit entropi (Anda bisa bervariasi bagaimana Anda melakukannya palindrom yang, misalnya, doctorwormrowrotcodatau doctorwormmrowrotcodatau doctorotcodwormmrowr., Dll Tapi dalam palindrom umum adalah ide yang buruk di pw
dr Jimbob
10

Orang-orang lebih cenderung memilih "mobil balap" karena kata sandi mereka karena mereka menyukainya . Jadi kata-kata itu tinggi di semua daftar kata (yang digunakan sebelum kekerasan). Dan lebih mudah untuk mengecek semua palindrom daripada mempertahankan daftar palindrom di pustaka pemeriksaan kata sandi.

Beberapa kata sandi sangat bagus dan beberapa sangat buruk.
Kami menggunakan faktor-faktor tertentu untuk menilai kualitas kata sandi. Suka panjang atau karakter berbeda apa yang digunakan.

Untuk beberapa kata sandi, faktor-faktor ini menjadi kurang relevan atau tidak relevan sama sekali.

Seperti, ini kata sandi yang bagus:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Yang ini, tidak terlalu banyak:

acbaacbacaabcabbbaaabcaccbbbaaac

Meskipun memiliki panjang yang sama, jika aturan password yang sama berlaku dan Anda brute force itu, password kedua akan mencoba banyak lebih cepat dari password pertama.

Mari kita lihat yang satu ini:

qwertyuiopasdfghjklzxcvbnm123456

Sekarang, kami mulai dengan kata sandi serius! Hanya saja itu hampir merupakan kata sandi yang paling buruk yang pernah ada karena semua huruf digunakan dalam pola yang sama dengan yang muncul pada jenis keyboard yang sangat populer.

Seseorang mungkin melihat kata sandi itu dan berpikir itu sangat luar biasa karena dia memilihnya dengan asumsi yang salah (panjang yang paling penting untuk kata sandi).

Hal yang sama bisa dikatakan untuk palindrom. Pertama-tama, mereka memberikan perasaan aman yang salah (seperti catatan Mike) karena panjangnya bertambah dengan hanya menduplikasi semua huruf. Tetapi masalah sebenarnya dengan mereka adalah bahwa mereka mudah diingat dan agak komoditas.

Der Hochstapler
sumber
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" ini bukan kata sandi yang bagus, ini kata sandi yang mengerikan, karena Anda tidak dapat mengingatnya.
o0 '.
3
Satu-satunya alasan mengapa itu kata sandi yang buruk hanya karena saya sebutkan di sini dan itu bukan rahasia lagi. Saya hanya menggunakan kata sandi yang dibuat secara acak dikombinasikan dengan solusi masuk tunggal.
Der Hochstapler
2
Versi 10 memiliki 73 kutipan baru. Lebih banyak kutipan per basis pengetahuan di bawah berbagai pesanan, pesanan rendah, membayar Anda dengan ramah, pertumbuhan besar untuk pengetahuan pemula yang tajam. Pekerjaan yang berguna menunggu untuk maju.
Synetech
2
Jürgen A. Erhard
2
@OliverSalzburg Anda tidak harus mengingat kata sandi; itu tertulis di Post-it yang terpasang pada monitor saya.
Ian Boyd
0

Cara mudah untuk mengatur kata sandi yang sepele, meskipun itu adalah satu karakter, itu adalah dengan menggunakan pengguna root untuk mengatur kata sandi.

Joe
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.