Mots de passe Palindrome non autorisés - pourquoi?

35

J'ai essayé de changer un mot de passe Linux en "sitonapotatopanotis" et j'ai eu cette erreur: BAD PASSWORD: is a palindrome

Pourquoi cette règle existe-t-elle?

Joe Mornin
la source
Personne à part les développeurs de pam_cracklibpourrait répondre à cela. J'ai essayé de regarder le manpageet fait une recherche rapide sur le Web, mais pas de chance.
Belmin Fernandez
2
Il est presque impossible de comprendre ce que pensait la personne qui l'a bloqué. Mais lorsque tout le travail consiste à inventer des mots de passe que nous ne sommes pas autorisés à utiliser, ils finissent par chercher d'autres trucs à ajouter. Je pense que pour répondre à votre question: pourquoi? - Quelqu'un a eu trop de temps.
Ian Boyd
Cela semble être un bon mot de passe pour moi, j'ai vu bien pire.
nikhil
1
Il est moins que la complexité est plus faible (il est, mais ce n'est pas le seul mal de chose avec palindromes), mais lexiques de craquage comprennent de nombreux palindromes communes à essayer avant-force brute ( amanaplanpanama, sitonapotatopanotis, tacocat<- ce dernier est une carte très fréquente dans Chatons explosifs ).
Max P Magee

Réponses:

11

Le manpagefor pam_cracklib(responsable de la vérification de la force du mot de passe) ne précise pas pourquoi cela est fait:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Cependant, il n’est pas difficile d’imaginer qu’il existe des logiciels de piratage des mots de passe qui tentent les palindromes.

Je ne recommanderais pas l’utilisation d’un tel mot de passe, mais c’est à vous d’évaluer les compromis de sécurité que vous êtes en mesure de faire (vous pouvez utiliser sudoun rootcompte pour changer le mot de passe et cela vous permettra de le changer comme vous le souhaitez).

Belmin Fernandez
la source
2
Donc, s'il ajoutait / soustrait un caractère, le mot de passe irait bien?
Daniel R Hicks
11
@ DanH: Oui. Si un programme de craquage doit essayer "près des palindromes", il doit pratiquement tout essayer.
David Schwartz
10
Il me semble qu'un palindrome devrait être considéré comme valide si la première moitié compte comme un mot de passe valide. (Mais c'est un peu cinglant, bien sûr).
Daniel R Hicks
17

Parce qu'un mot de passe palindromique de 20 caractères est aussi sécurisé qu'un mot de passe de 10 caractères - il n'y a pratiquement pas d'entropie supplémentaire dans les 10 derniers caractères. Donc, vous obtenez un faux sentiment de sécurité d'avoir un mot de passe long.

Mike Scott
la source
11
Peut-être que vous vous trompez ici, mais la sécurité effective dépend toujours de la façon dont vous essayez de déchiffrer un tel mot de passe. L'attaquant sait-il qu'un jeu de caractères limité est utilisé? Connaissons-nous la longueur du mot de passe?
Slhck
19
Est-ce que les crackers de mots de passe essayent généralement les palindromes de chaque proposition?
Joe Mornin
1
Hm, cela ajoute certainement à l' entropie du mot de passe . Cependant, je ne le recommanderais certainement pas. Tout dépend de la manière dont le logiciel de piratage des mots de passe génère des permutations.
Belmin Fernandez
13
Un mot de passe palindrome ajoute exactement un bit d'entropie (palindrome ou non palindrome). Ce n'est pas "aussi sécurisé qu'un mot de passe de 10 caractères", mais c'est beaucoup moins sécurisé qu'un 11.
4
Je dirais sitonapotatopanotisprobablement beaucoup moins entropique qu'un mot de passe standard de 10 lettres composé de mots anglais. Les palindormes grammaticalement corrects sont très rares. Ce serait à peu près aussi sûr si vous construisiez un palindrome avec 10 caractères aléatoires mwiovqfbzczbfqvoiwm, ou si vous preniez des mots et que le palindrome devenait un non-sens doctorwormrowrotcod. En outre, cela ajoute un peu plus d'entropie (vous pouvez varier la façon dont vous faites le palindrome; par exemple, doctorwormrowrotcodou doctorwormmrowrotcodou doctorotcodwormmrowr, etc. Mais en général, les palindromes sont une mauvaise idée.
dr jimbob
10

Les gens sont tout simplement plus susceptibles de choisir "racecar" comme mot de passe, car ils l' aiment bien. Donc, ces mots sont en haut de toutes les listes de mots (qui sont utilisés avant toute force brute). Et il est plus simple de vérifier tous les palindromes que de conserver une liste des palindromes dans la bibliothèque de vérification du mot de passe.


Certains mots de passe sont bons et d'autres vraiment mauvais.
Nous utilisons certains facteurs pour juger de la qualité d'un mot de passe. Comme la longueur ou quels sont les différents caractères utilisés.

Pour certains mots de passe, ces facteurs deviennent moins pertinents ou pas du tout pertinents.

Comme, c'est un bon mot de passe:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Celui-ci, pas tellement:

acbaacbacaabcabbbaaabcaccbbbaaac

Même s'il a la même longueur, si les mêmes règles de mot de passe s'appliquent et que vous le forcez brutalement, le second mot de passe sera essayé beaucoup plus tôt que le premier.

Jetons un coup d'oeil à celui-ci:

qwertyuiopasdfghjklzxcvbnm123456

Maintenant, nous roulons avec un mot de passe sérieux! Seulement, c'est presque le pire mot de passe possible de tous les temps car toutes les lettres sont utilisées dans le même motif, comme elles apparaissent sur un type de clavier très populaire.

Quelqu'un peut regarder ce mot de passe et le trouver génial parce qu'il le choisit sous de fausses hypothèses (la longueur étant le plus important pour un mot de passe).

La même chose pourrait être dite pour les palindromes. Tout d’abord, ils donnent un faux sentiment de sécurité (comme le note Mike) parce que leur longueur est augmentée simplement en dupliquant toutes les lettres. Mais le vrai problème avec eux, c’est qu’ils sont faciles à retenir et en quelque sorte une marchandise.

Der Hochstapler
la source
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" ce n'est pas un bon mot de passe, c'est un mot terrible, car vous ne vous en souvenez tout simplement pas .
o0 '.
3
La seule raison pour laquelle ce mot de passe est mauvais, c'est simplement parce que je l'ai mentionné ici et qu'il n'est plus secret. J'utilise uniquement des mots de passe générés aléatoirement, associés à une solution à authentification unique.
Der Hochstapler
2
La version 10 a 73 nouvelles citations. De plus en plus de citations par base de connaissances pour des commandes plus ou moins laconiques, vous payent gentiment, une croissance importante pour les connaissances des débutants enthousiastes. Des emplois utiles attendent à l'avenir.
Synetech
2
xkcd.com/936
Jürgen A. Erhard
2
@OliverSalzburg Vous n'êtes pas obligé de vous souvenir du mot de passe. c'est écrit sur le Post-it attaché à mon moniteur.
Ian Boyd
0

Le moyen le plus simple de définir des mots de passe triviaux, même s’il s’agit d’un seul caractère, c’est en utilisant l’utilisateur root pour définir le mot de passe.

Joe
la source