Senhas do Palíndromo não permitidas - por quê?

35

Eu tentei mudar uma senha do Linux para "sitonapotatopanotis" e recebi este erro: BAD PASSWORD: is a palindrome

Por que essa regra existe?

    
por Joe Mornin 02.03.2012 / 16:56

4 respostas

11

O manpage para pam_cracklib (responsável pela verificação da força da senha) não especifica por que isso é feito:

   The strength checks works in the following manner: at first the Cracklib routine is
   called to check if the password is part of a dictionary; if this is not the case an
   additional set of strength checks is done. These checks are:

   Palindrome
       Is the new password a palindrome?

No entanto, não é difícil imaginar que existem alguns softwares de quebra de senhas que experimentam palíndromos.

Eu não recomendaria o uso de uma senha, mas cabe a você avaliar quais trocas de segurança você está acostumado a fazer (você pode usar sudo ou root account para alterar a senha e ela permitirá que você mude para o que você quiser).

    
por 02.03.2012 / 18:27
16

Como uma senha palíndromo de 20 caracteres é tão segura quanto uma senha de 10 caracteres - basicamente não há entropia extra nos últimos 10 caracteres. Então você está recebendo uma falsa sensação de segurança por ter uma senha longa.

    
por 02.03.2012 / 17:04
9

É mais provável que as pessoas escolham "carro de corrida" como sua senha, porque elas gostam disso. Então essas palavras estão no topo de todas as listas de palavras (que são usadas antes de qualquer força bruta). E é mais simples verificar em palíndromos all do que manter uma lista de palíndromos na biblioteca de verificação de senha.

Algumas senhas são ótimas e algumas são muito ruins.
Usamos certos fatores para avaliar a qualidade de uma senha. Como tamanho ou quais caracteres diferentes são usados.

Para algumas senhas, esses fatores se tornam menos relevantes ou não são relevantes.

Como, esta é uma ótima senha:

v10H73nqMQPkbUvTLOPyKBg4KnkUjWgF

Este aqui, não tanto:

acbaacbacaabcabbbaaabcaccbbbaaac

Apesar de ter o mesmo tamanho, se as mesmas regras de senha forem aplicáveis e você forçar a força bruta, a segunda senha será tentada com um lote antes da primeira senha.

Vamos dar uma olhada neste:

qwertyuiopasdfghjklzxcvbnm123456

Agora, estamos rolando com uma senha séria! Só que é quase a pior senha possível porque todas as letras são usadas no mesmo padrão em que aparecem em um tipo de teclado muito popular.

Alguém pode ver a senha e achar super incrível porque ela a escolhe sob falsas suposições (a duração é mais importante para uma senha).

O mesmo pode ser dito para os palíndromos. Primeiro de tudo, eles dão uma falsa sensação de segurança (como Mike nota) porque seu comprimento é aumentado simplesmente duplicando todas as letras. Mas o problema real com eles é que eles são fáceis de lembrar e um pouco de uma mercadoria.

    
por 02.03.2012 / 19:33
0

A maneira fácil de definir senhas triviais, mesmo que seja um único caractere, é usando o usuário root para definir a senha.

    
por 02.03.2015 / 11:19