8桁の数字が「強力な」パスワードと見なされるのはなぜですか?

8桁の数字が「強力な」パスワードと見なされるのはなぜですか?

Linux(重要な場合はCentOS)では、辞書以外の単語の場合、8文字以外の8桁の数字がパスワードで許可される理由が疑問に思います。

結局のところ、すべての数字は10と26です。 (52個は大文字と小文字を区別する)

答え1

それはすべてpamの設定によって異なります。誰かがパスワードに少なくとも1つの数字が必要な場合、8桁の数字は一致しますが、8文字は一致しません。人々は妻の名前のように非常に安全なパスワードを選択し、妻の名前+数字はより安全なので、これは非常に一般的な要件です。

これはLinuxまたはUnixの継承属性ではなく、管理者が簡単に変更できます。

答え2

Shadow-4.1.4.2のソースコードでoblique.cを見てみると、次のようになります。

/*
 * The scam is this - a password of only one character type
 * must be 8 letters long.  Two types, 7, and so on.
 */

私はデザイン決定が社会工学的要因と多く関連していると思います。人々がランダムに難しいパスワードを作成するように強制することは、人々が画面にパスワードを表示させるのに最適な方法です。

暗号化された「フレンドリー」指標は、次のようにコード化されています。

#ifdef HAVE_LIBCRACK
    /*
     * Invoke Alec Muffett's cracklib routines.
     */

およびシステムビルダーが要求するその他の措置。これから、私は著者が問題を広範囲に検討したとき、彼らが何をしていたのかを最もよく理解したと結論付けました。

関連情報