Nadie más que los desarrolladores de pam_cracklibpodría responder esto. Traté de mirar el manpagee hice una búsqueda rápida en la web pero no tuve suerte.
Belmin Fernández
2
Es casi imposible descubrir qué estaba pensando la persona que lo bloqueó. Pero cuando todo el trabajo de alguien es pensar contraseñas que no podemos usar, eventualmente comienzan a buscar más cosas para agregar. Pienso responder a tu pregunta: ¿Por qué? - Alguien tenía demasiado tiempo en sus manos.
Ian Boyd
Eso me parece una buena contraseña, la he visto mucho peor.
nikhil
1
Es menos que la complejidad es menor (que es, pero ese no es el único malo de palíndromos), pero que las listas de palabras de craqueo incluyen muchos palíndromos comunes para intentar antes de fuerza bruta ( amanaplanpanama, sitonapotatopanotis, tacocat<- este último es una tarjeta muy frecuente en Gatitos explosivos ).
Max P Magee
Respuestas:
11
El manpagefor pam_cracklib(responsable de la comprobación de la seguridad de la contraseña) no especifica por qué se hace esto:
The strength checks works in the following manner: at first the Cracklib routine is
called to check if the password is part of a dictionary; if this is not the case an
additional set of strength checks is done. These checks are:
Palindrome
Is the new password a palindrome?
Sin embargo, no es difícil imaginar que hay algunos softwares para descifrar contraseñas que prueban palíndromos.
No recomendaría usar una contraseña de este tipo, pero depende de usted evaluar las compensaciones de seguridad con las que se sienta cómodo (puede usar sudoo rootdar cuenta para cambiar la contraseña y le permitirá cambiarla a lo que desee).
Entonces, si agregó / restó un carácter, ¿la contraseña estaría bien?
Daniel R Hicks
11
@ Dan: Sí. Si un programa de craqueo va a probar "cerca de palíndromos", prácticamente tiene que probarlo todo.
David Schwartz
10
Me parece que un palíndromo debe considerarse válido si la primera mitad cuenta como una contraseña válida. (Pero eso es molestar, por supuesto).
Daniel R Hicks
17
Debido a que una contraseña palindrómica de 20 caracteres es tan segura como una contraseña de 10 caracteres, esencialmente no hay entropía adicional en los últimos 10 caracteres. Entonces, obtienes una falsa sensación de seguridad al tener una contraseña larga.
Podría estar equivocado aquí, pero la seguridad efectiva aún depende de cómo intente descifrar dicha contraseña. ¿El atacante sabe que se está utilizando un conjunto de caracteres limitado? ¿Conocemos la longitud de la contraseña?
slhck
19
¿Los crackers de contraseñas suelen intentar palíndromos de cada conjetura?
Joe Mornin
1
Hm, ciertamente se suma a la entropía de contraseña . Sin embargo, ciertamente no lo recomendaría. Todo depende de cómo el software para descifrar contraseñas genere permutaciones.
Belmin Fernández
13
Una contraseña palindrómica agrega exactamente un bit de entropía (es palíndromo versus no es palíndromo). No es "tan seguro como una contraseña de 10 caracteres", sino que es mucho menos seguro que una contraseña de 11 caracteres.
44
Yo diría que sitonapotatopanotisprobablemente significativamente menos entrópico que una contraseña estándar de 10 letras hecha de palabras en inglés. Los palindormes gramaticalmente correctos son muy raros. Sería casi tan seguro si hicieras un palíndromo con 10 caracteres aleatorios mwiovqfbzczbfqvoiwm, o si solo tomaras palabras y hicieras que el palíndromo no tuviera sentido doctorwormrowrotcod. También se añade un poco más que un poco de entropía (que podría variar la forma de hacer el palíndromo; por ejemplo, doctorwormrowrotcodo doctorwormmrowrotcodo doctorotcodwormmrowr., Etc, pero en palíndromos generales son una mala idea en PW
dr jimbob
10
Es más probable que las personas elijan "auto de carreras" como contraseña porque les gusta . Entonces, esas palabras están en lo alto de todas las listas de palabras (que se usan antes de cualquier fuerza bruta). Y es más sencillo verificar todos los palíndromos que mantener una lista de palíndromos en la biblioteca de verificación de contraseñas.
Algunas contraseñas son geniales y otras realmente malas.
Utilizamos ciertos factores para juzgar la calidad de una contraseña. Como longitud o qué caracteres diferentes se usan.
Para algunas contraseñas, estos factores se vuelven menos relevantes o no son relevantes en absoluto.
Como, esta es una gran contraseña:
v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF
Este, no tanto:
acbaacbacaabcabbbaaabcaccbbbaaac
Aunque tiene la misma longitud, si se aplican las mismas reglas de contraseña y la fuerza bruta, la segunda contraseña se probará mucho antes que la primera contraseña.
Echemos un vistazo a este:
qwertyuiopasdfghjklzxcvbnm123456
Ahora, estamos rodando con una contraseña seria! Solo que es casi la peor contraseña posible porque todas las letras se usan en el mismo patrón que aparecen en un tipo de teclado muy popular.
Alguien podría mirar esa contraseña y pensar que es súper increíble porque la elige bajo suposiciones falsas (la longitud es lo más importante para una contraseña).
Lo mismo podría decirse de los palíndromos. En primer lugar, dan una falsa sensación de seguridad (como señala Mike) porque su longitud aumenta simplemente duplicando todas las letras. Pero el verdadero problema con ellos es que son fáciles de recordar y algo así como una mercancía.
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" esta no es una gran contraseña, es horrible, ya que simplemente no puedes recordarla.
o0 '.
3
La única razón por la cual es una contraseña incorrecta es porque la mencioné aquí y ya no es secreta. Solo uso contraseñas generadas al azar combinadas con una solución de inicio de sesión único.
Der Hochstapler
2
La versión 10 tiene 73 citas nuevas. Más cotizaciones por base de conocimiento bajo órdenes variadas y bajas, le paga amablemente, un gran crecimiento por el conocimiento entusiasta de los principiantes. Los trabajos útiles esperan en el futuro.
@OliverSalzburg No tiene que recordar la contraseña; Está escrito en el Post-it adjunto a mi monitor.
Ian Boyd
0
La manera fácil de establecer contraseñas triviales, incluso si se trata de un solo carácter, es mediante el uso del usuario root para establecer la contraseña.
pam_cracklib
podría responder esto. Traté de mirar elmanpage
e hice una búsqueda rápida en la web pero no tuve suerte.amanaplanpanama
,sitonapotatopanotis
,tacocat
<- este último es una tarjeta muy frecuente en Gatitos explosivos ).Respuestas:
El
manpage
forpam_cracklib
(responsable de la comprobación de la seguridad de la contraseña) no especifica por qué se hace esto:Sin embargo, no es difícil imaginar que hay algunos softwares para descifrar contraseñas que prueban palíndromos.
No recomendaría usar una contraseña de este tipo, pero depende de usted evaluar las compensaciones de seguridad con las que se sienta cómodo (puede usar
sudo
oroot
dar cuenta para cambiar la contraseña y le permitirá cambiarla a lo que desee).fuente
Debido a que una contraseña palindrómica de 20 caracteres es tan segura como una contraseña de 10 caracteres, esencialmente no hay entropía adicional en los últimos 10 caracteres. Entonces, obtienes una falsa sensación de seguridad al tener una contraseña larga.
fuente
sitonapotatopanotis
probablemente significativamente menos entrópico que una contraseña estándar de 10 letras hecha de palabras en inglés. Los palindormes gramaticalmente correctos son muy raros. Sería casi tan seguro si hicieras un palíndromo con 10 caracteres aleatoriosmwiovqfbzczbfqvoiwm
, o si solo tomaras palabras y hicieras que el palíndromo no tuviera sentidodoctorwormrowrotcod
. También se añade un poco más que un poco de entropía (que podría variar la forma de hacer el palíndromo; por ejemplo,doctorwormrowrotcod
odoctorwormmrowrotcod
odoctorotcodwormmrowr
., Etc, pero en palíndromos generales son una mala idea en PWEs más probable que las personas elijan "auto de carreras" como contraseña porque les gusta . Entonces, esas palabras están en lo alto de todas las listas de palabras (que se usan antes de cualquier fuerza bruta). Y es más sencillo verificar todos los palíndromos que mantener una lista de palíndromos en la biblioteca de verificación de contraseñas.
Algunas contraseñas son geniales y otras realmente malas.
Utilizamos ciertos factores para juzgar la calidad de una contraseña. Como longitud o qué caracteres diferentes se usan.
Para algunas contraseñas, estos factores se vuelven menos relevantes o no son relevantes en absoluto.
Como, esta es una gran contraseña:
Este, no tanto:
Aunque tiene la misma longitud, si se aplican las mismas reglas de contraseña y la fuerza bruta, la segunda contraseña se probará mucho antes que la primera contraseña.
Echemos un vistazo a este:
Ahora, estamos rodando con una contraseña seria! Solo que es casi la peor contraseña posible porque todas las letras se usan en el mismo patrón que aparecen en un tipo de teclado muy popular.
Alguien podría mirar esa contraseña y pensar que es súper increíble porque la elige bajo suposiciones falsas (la longitud es lo más importante para una contraseña).
Lo mismo podría decirse de los palíndromos. En primer lugar, dan una falsa sensación de seguridad (como señala Mike) porque su longitud aumenta simplemente duplicando todas las letras. Pero el verdadero problema con ellos es que son fáciles de recordar y algo así como una mercancía.
fuente
La manera fácil de establecer contraseñas triviales, incluso si se trata de un solo carácter, es mediante el uso del usuario root para establecer la contraseña.
fuente