Personne à part les développeurs de pam_cracklibpourrait répondre à cela. J'ai essayé de regarder le manpageet fait une recherche rapide sur le Web, mais pas de chance.
Belmin Fernandez
2
Il est presque impossible de comprendre ce que pensait la personne qui l'a bloqué. Mais lorsque tout le travail consiste à inventer des mots de passe que nous ne sommes pas autorisés à utiliser, ils finissent par chercher d'autres trucs à ajouter. Je pense que pour répondre à votre question: pourquoi? - Quelqu'un a eu trop de temps.
Ian Boyd
Cela semble être un bon mot de passe pour moi, j'ai vu bien pire.
nikhil
1
Il est moins que la complexité est plus faible (il est, mais ce n'est pas le seul mal de chose avec palindromes), mais lexiques de craquage comprennent de nombreux palindromes communes à essayer avant-force brute ( amanaplanpanama, sitonapotatopanotis, tacocat<- ce dernier est une carte très fréquente dans Chatons explosifs ).
Max P Magee
Réponses:
11
Le manpagefor pam_cracklib(responsable de la vérification de la force du mot de passe) ne précise pas pourquoi cela est fait:
The strength checks works in the following manner: at first the Cracklib routine is
called to check if the password is part of a dictionary; if this is not the case an
additional set of strength checks is done. These checks are:
Palindrome
Is the new password a palindrome?
Cependant, il n’est pas difficile d’imaginer qu’il existe des logiciels de piratage des mots de passe qui tentent les palindromes.
Je ne recommanderais pas l’utilisation d’un tel mot de passe, mais c’est à vous d’évaluer les compromis de sécurité que vous êtes en mesure de faire (vous pouvez utiliser sudoun rootcompte pour changer le mot de passe et cela vous permettra de le changer comme vous le souhaitez).
Donc, s'il ajoutait / soustrait un caractère, le mot de passe irait bien?
Daniel R Hicks
11
@ DanH: Oui. Si un programme de craquage doit essayer "près des palindromes", il doit pratiquement tout essayer.
David Schwartz
10
Il me semble qu'un palindrome devrait être considéré comme valide si la première moitié compte comme un mot de passe valide. (Mais c'est un peu cinglant, bien sûr).
Daniel R Hicks
17
Parce qu'un mot de passe palindromique de 20 caractères est aussi sécurisé qu'un mot de passe de 10 caractères - il n'y a pratiquement pas d'entropie supplémentaire dans les 10 derniers caractères. Donc, vous obtenez un faux sentiment de sécurité d'avoir un mot de passe long.
Peut-être que vous vous trompez ici, mais la sécurité effective dépend toujours de la façon dont vous essayez de déchiffrer un tel mot de passe. L'attaquant sait-il qu'un jeu de caractères limité est utilisé? Connaissons-nous la longueur du mot de passe?
Slhck
19
Est-ce que les crackers de mots de passe essayent généralement les palindromes de chaque proposition?
Joe Mornin
1
Hm, cela ajoute certainement à l' entropie du mot de passe . Cependant, je ne le recommanderais certainement pas. Tout dépend de la manière dont le logiciel de piratage des mots de passe génère des permutations.
Belmin Fernandez
13
Un mot de passe palindrome ajoute exactement un bit d'entropie (palindrome ou non palindrome). Ce n'est pas "aussi sécurisé qu'un mot de passe de 10 caractères", mais c'est beaucoup moins sécurisé qu'un 11.
4
Je dirais sitonapotatopanotisprobablement beaucoup moins entropique qu'un mot de passe standard de 10 lettres composé de mots anglais. Les palindormes grammaticalement corrects sont très rares. Ce serait à peu près aussi sûr si vous construisiez un palindrome avec 10 caractères aléatoires mwiovqfbzczbfqvoiwm, ou si vous preniez des mots et que le palindrome devenait un non-sens doctorwormrowrotcod. En outre, cela ajoute un peu plus d'entropie (vous pouvez varier la façon dont vous faites le palindrome; par exemple, doctorwormrowrotcodou doctorwormmrowrotcodou doctorotcodwormmrowr, etc. Mais en général, les palindromes sont une mauvaise idée.
dr jimbob
10
Les gens sont tout simplement plus susceptibles de choisir "racecar" comme mot de passe, car ils l' aiment bien. Donc, ces mots sont en haut de toutes les listes de mots (qui sont utilisés avant toute force brute). Et il est plus simple de vérifier tous les palindromes que de conserver une liste des palindromes dans la bibliothèque de vérification du mot de passe.
Certains mots de passe sont bons et d'autres vraiment mauvais.
Nous utilisons certains facteurs pour juger de la qualité d'un mot de passe. Comme la longueur ou quels sont les différents caractères utilisés.
Pour certains mots de passe, ces facteurs deviennent moins pertinents ou pas du tout pertinents.
Comme, c'est un bon mot de passe:
v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF
Celui-ci, pas tellement:
acbaacbacaabcabbbaaabcaccbbbaaac
Même s'il a la même longueur, si les mêmes règles de mot de passe s'appliquent et que vous le forcez brutalement, le second mot de passe sera essayé beaucoup plus tôt que le premier.
Jetons un coup d'oeil à celui-ci:
qwertyuiopasdfghjklzxcvbnm123456
Maintenant, nous roulons avec un mot de passe sérieux! Seulement, c'est presque le pire mot de passe possible de tous les temps car toutes les lettres sont utilisées dans le même motif, comme elles apparaissent sur un type de clavier très populaire.
Quelqu'un peut regarder ce mot de passe et le trouver génial parce qu'il le choisit sous de fausses hypothèses (la longueur étant le plus important pour un mot de passe).
La même chose pourrait être dite pour les palindromes. Tout d’abord, ils donnent un faux sentiment de sécurité (comme le note Mike) parce que leur longueur est augmentée simplement en dupliquant toutes les lettres. Mais le vrai problème avec eux, c’est qu’ils sont faciles à retenir et en quelque sorte une marchandise.
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" ce n'est pas un bon mot de passe, c'est un mot terrible, car vous ne vous en souvenez tout simplement pas .
o0 '.
3
La seule raison pour laquelle ce mot de passe est mauvais, c'est simplement parce que je l'ai mentionné ici et qu'il n'est plus secret. J'utilise uniquement des mots de passe générés aléatoirement, associés à une solution à authentification unique.
Der Hochstapler
2
La version 10 a 73 nouvelles citations. De plus en plus de citations par base de connaissances pour des commandes plus ou moins laconiques, vous payent gentiment, une croissance importante pour les connaissances des débutants enthousiastes. Des emplois utiles attendent à l'avenir.
@OliverSalzburg Vous n'êtes pas obligé de vous souvenir du mot de passe. c'est écrit sur le Post-it attaché à mon moniteur.
Ian Boyd
0
Le moyen le plus simple de définir des mots de passe triviaux, même s’il s’agit d’un seul caractère, c’est en utilisant l’utilisateur root pour définir le mot de passe.
pam_cracklib
pourrait répondre à cela. J'ai essayé de regarder lemanpage
et fait une recherche rapide sur le Web, mais pas de chance.amanaplanpanama
,sitonapotatopanotis
,tacocat
<- ce dernier est une carte très fréquente dans Chatons explosifs ).Réponses:
Le
manpage
forpam_cracklib
(responsable de la vérification de la force du mot de passe) ne précise pas pourquoi cela est fait:Cependant, il n’est pas difficile d’imaginer qu’il existe des logiciels de piratage des mots de passe qui tentent les palindromes.
Je ne recommanderais pas l’utilisation d’un tel mot de passe, mais c’est à vous d’évaluer les compromis de sécurité que vous êtes en mesure de faire (vous pouvez utiliser
sudo
unroot
compte pour changer le mot de passe et cela vous permettra de le changer comme vous le souhaitez).la source
Parce qu'un mot de passe palindromique de 20 caractères est aussi sécurisé qu'un mot de passe de 10 caractères - il n'y a pratiquement pas d'entropie supplémentaire dans les 10 derniers caractères. Donc, vous obtenez un faux sentiment de sécurité d'avoir un mot de passe long.
la source
sitonapotatopanotis
probablement beaucoup moins entropique qu'un mot de passe standard de 10 lettres composé de mots anglais. Les palindormes grammaticalement corrects sont très rares. Ce serait à peu près aussi sûr si vous construisiez un palindrome avec 10 caractères aléatoiresmwiovqfbzczbfqvoiwm
, ou si vous preniez des mots et que le palindrome devenait un non-sensdoctorwormrowrotcod
. En outre, cela ajoute un peu plus d'entropie (vous pouvez varier la façon dont vous faites le palindrome; par exemple,doctorwormrowrotcod
oudoctorwormmrowrotcod
oudoctorotcodwormmrowr
, etc. Mais en général, les palindromes sont une mauvaise idée.Les gens sont tout simplement plus susceptibles de choisir "racecar" comme mot de passe, car ils l' aiment bien. Donc, ces mots sont en haut de toutes les listes de mots (qui sont utilisés avant toute force brute). Et il est plus simple de vérifier tous les palindromes que de conserver une liste des palindromes dans la bibliothèque de vérification du mot de passe.
Certains mots de passe sont bons et d'autres vraiment mauvais.
Nous utilisons certains facteurs pour juger de la qualité d'un mot de passe. Comme la longueur ou quels sont les différents caractères utilisés.
Pour certains mots de passe, ces facteurs deviennent moins pertinents ou pas du tout pertinents.
Comme, c'est un bon mot de passe:
Celui-ci, pas tellement:
Même s'il a la même longueur, si les mêmes règles de mot de passe s'appliquent et que vous le forcez brutalement, le second mot de passe sera essayé beaucoup plus tôt que le premier.
Jetons un coup d'oeil à celui-ci:
Maintenant, nous roulons avec un mot de passe sérieux! Seulement, c'est presque le pire mot de passe possible de tous les temps car toutes les lettres sont utilisées dans le même motif, comme elles apparaissent sur un type de clavier très populaire.
Quelqu'un peut regarder ce mot de passe et le trouver génial parce qu'il le choisit sous de fausses hypothèses (la longueur étant le plus important pour un mot de passe).
La même chose pourrait être dite pour les palindromes. Tout d’abord, ils donnent un faux sentiment de sécurité (comme le note Mike) parce que leur longueur est augmentée simplement en dupliquant toutes les lettres. Mais le vrai problème avec eux, c’est qu’ils sont faciles à retenir et en quelque sorte une marchandise.
la source
Le moyen le plus simple de définir des mots de passe triviaux, même s’il s’agit d’un seul caractère, c’est en utilisant l’utilisateur root pour définir le mot de passe.
la source