Contraseñas de Palindrome no permitidas, ¿por qué?

35

Traté de cambiar una contraseña de Linux a "sitonapotatopanotis" y obtuve este error: BAD PASSWORD: is a palindrome

¿Por qué existe esta regla?

Joe Mornin
fuente
Nadie más que los desarrolladores de pam_cracklibpodría responder esto. Traté de mirar el manpagee hice una búsqueda rápida en la web pero no tuve suerte.
Belmin Fernández
2
Es casi imposible descubrir qué estaba pensando la persona que lo bloqueó. Pero cuando todo el trabajo de alguien es pensar contraseñas que no podemos usar, eventualmente comienzan a buscar más cosas para agregar. Pienso responder a tu pregunta: ¿Por qué? - Alguien tenía demasiado tiempo en sus manos.
Ian Boyd
Eso me parece una buena contraseña, la he visto mucho peor.
nikhil
1
Es menos que la complejidad es menor (que es, pero ese no es el único malo de palíndromos), pero que las listas de palabras de craqueo incluyen muchos palíndromos comunes para intentar antes de fuerza bruta ( amanaplanpanama, sitonapotatopanotis, tacocat<- este último es una tarjeta muy frecuente en Gatitos explosivos ).
Max P Magee

Respuestas:

11

El manpagefor pam_cracklib(responsable de la comprobación de la seguridad de la contraseña) no especifica por qué se hace esto:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

Sin embargo, no es difícil imaginar que hay algunos softwares para descifrar contraseñas que prueban palíndromos.

No recomendaría usar una contraseña de este tipo, pero depende de usted evaluar las compensaciones de seguridad con las que se sienta cómodo (puede usar sudoo rootdar cuenta para cambiar la contraseña y le permitirá cambiarla a lo que desee).

Belmin Fernandez
fuente
2
Entonces, si agregó / restó un carácter, ¿la contraseña estaría bien?
Daniel R Hicks
11
@ Dan: Sí. Si un programa de craqueo va a probar "cerca de palíndromos", prácticamente tiene que probarlo todo.
David Schwartz
10
Me parece que un palíndromo debe considerarse válido si la primera mitad cuenta como una contraseña válida. (Pero eso es molestar, por supuesto).
Daniel R Hicks
17

Debido a que una contraseña palindrómica de 20 caracteres es tan segura como una contraseña de 10 caracteres, esencialmente no hay entropía adicional en los últimos 10 caracteres. Entonces, obtienes una falsa sensación de seguridad al tener una contraseña larga.

Mike Scott
fuente
11
Podría estar equivocado aquí, pero la seguridad efectiva aún depende de cómo intente descifrar dicha contraseña. ¿El atacante sabe que se está utilizando un conjunto de caracteres limitado? ¿Conocemos la longitud de la contraseña?
slhck
19
¿Los crackers de contraseñas suelen intentar palíndromos de cada conjetura?
Joe Mornin
1
Hm, ciertamente se suma a la entropía de contraseña . Sin embargo, ciertamente no lo recomendaría. Todo depende de cómo el software para descifrar contraseñas genere permutaciones.
Belmin Fernández
13
Una contraseña palindrómica agrega exactamente un bit de entropía (es palíndromo versus no es palíndromo). No es "tan seguro como una contraseña de 10 caracteres", sino que es mucho menos seguro que una contraseña de 11 caracteres.
44
Yo diría que sitonapotatopanotisprobablemente significativamente menos entrópico que una contraseña estándar de 10 letras hecha de palabras en inglés. Los palindormes gramaticalmente correctos son muy raros. Sería casi tan seguro si hicieras un palíndromo con 10 caracteres aleatorios mwiovqfbzczbfqvoiwm, o si solo tomaras palabras y hicieras que el palíndromo no tuviera sentido doctorwormrowrotcod. También se añade un poco más que un poco de entropía (que podría variar la forma de hacer el palíndromo; por ejemplo, doctorwormrowrotcodo doctorwormmrowrotcodo doctorotcodwormmrowr., Etc, pero en palíndromos generales son una mala idea en PW
dr jimbob
10

Es más probable que las personas elijan "auto de carreras" como contraseña porque les gusta . Entonces, esas palabras están en lo alto de todas las listas de palabras (que se usan antes de cualquier fuerza bruta). Y es más sencillo verificar todos los palíndromos que mantener una lista de palíndromos en la biblioteca de verificación de contraseñas.


Algunas contraseñas son geniales y otras realmente malas.
Utilizamos ciertos factores para juzgar la calidad de una contraseña. Como longitud o qué caracteres diferentes se usan.

Para algunas contraseñas, estos factores se vuelven menos relevantes o no son relevantes en absoluto.

Como, esta es una gran contraseña:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Este, no tanto:

acbaacbacaabcabbbaaabcaccbbbaaac

Aunque tiene la misma longitud, si se aplican las mismas reglas de contraseña y la fuerza bruta, la segunda contraseña se probará mucho antes que la primera contraseña.

Echemos un vistazo a este:

qwertyuiopasdfghjklzxcvbnm123456

Ahora, estamos rodando con una contraseña seria! Solo que es casi la peor contraseña posible porque todas las letras se usan en el mismo patrón que aparecen en un tipo de teclado muy popular.

Alguien podría mirar esa contraseña y pensar que es súper increíble porque la elige bajo suposiciones falsas (la longitud es lo más importante para una contraseña).

Lo mismo podría decirse de los palíndromos. En primer lugar, dan una falsa sensación de seguridad (como señala Mike) porque su longitud aumenta simplemente duplicando todas las letras. Pero el verdadero problema con ellos es que son fáciles de recordar y algo así como una mercancía.

Der Hochstapler
fuente
12
-1 "v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF" esta no es una gran contraseña, es horrible, ya que simplemente no puedes recordarla.
o0 '.
3
La única razón por la cual es una contraseña incorrecta es porque la mencioné aquí y ya no es secreta. Solo uso contraseñas generadas al azar combinadas con una solución de inicio de sesión único.
Der Hochstapler
2
La versión 10 tiene 73 citas nuevas. Más cotizaciones por base de conocimiento bajo órdenes variadas y bajas, le paga amablemente, un gran crecimiento por el conocimiento entusiasta de los principiantes. Los trabajos útiles esperan en el futuro.
Synetech
2
xkcd.com/936
Jürgen A. Erhard
2
@OliverSalzburg No tiene que recordar la contraseña; Está escrito en el Post-it adjunto a mi monitor.
Ian Boyd
0

La manera fácil de establecer contraseñas triviales, incluso si se trata de un solo carácter, es mediante el uso del usuario root para establecer la contraseña.

Joe
fuente