Estoy cuestionando el consejo común que se da de no utilizar palabras del diccionario en una oración como contraseña. Por ejemplo, usando "¡Mi nombre es Sue!" como contraseña. En los sitios web que alojo y administro, si no escribes esa cadena exacta de caracteres, no estás ingresando. He mirado los diccionarios utilizados por algunos programas de cracking y son colecciones asombrosas de palabras. Rápidamente dejé de intentar encontrar una palabra que no estuviera allí, en todos los idiomas escritos. Entonces, usar una mala palabra holandesa es una contraseña pésima. Pero no había frases allí, e incluso si las hubiera, ¿no lo convertiría la gran cantidad de frases posibles y sus permutaciones en otra forma de ataque de fuerza bruta?
Entonces, ¿por qué aconsejar no utilizar palabras del diccionario en una oración como frase de contraseña?
(caja de jabón) Creo que TI no les ha hecho ningún favor a los usuarios al requerir contraseñas cada vez más complejas e imposibles de recordar en lugar de ofrecer el consejo de usar una frase de contraseña. Estoy buscando una respuesta razonada de por qué estoy pensando incorrectamente y debería volver al consejo común.(/soap box)
Respuesta1
Estás comparando contraseñas confrases de contraseña. Frases de contraseñageneralmente son considerados superiores, siempre y cuando la gente no utilice frases comunes.
Respuesta2
Como ya dijo 'Ernie', estás comparando contraseñas con frases de contraseña. El consejo de no utilizar palabras del diccionario es sólido. Pero usar frases de contraseña como una combinación de palabras del diccionario es sólo "un paso" menos peligroso, al igual que otros trucos que intentan crear una contraseña/frase memorable.
Hoy en día, en la situación en la que un atacante tiene la versión cifrada de su contraseña (frase), no realizará simplemente un ataque de diccionario ordinario. Los hackers conocen todos lostrucos(vamos a hablar, concatenar palabras, sumar números, etc.).
Información ampliada enSecurity Now episodio 366 "Actualización para descifrar contraseñas: la muerte de 'Clever'"(o leer sutranscripción).
Te sugiero que uses un buen generador de contraseñas comoUltimo pase(también discutido extensamente en el episodio 256 de Security Now) para generar contraseñas aleatorias para usted. Los humanos son malos al azar (ya seagenerándoloodetectándolo)
Si realmente desea contraseñas memorables, es posible que desee utilizar eltécnica de pajares de contraseñascomo alternativa a combinaciones aleatorias difíciles de recordar. Aquí agrega una cadena repetitiva (123 123 123) a una cadena corta que contiene la entropía máxima (¡D0g!).
Sea cual sea el método que elijas,haga que sus contraseñas tengan al menos 12 caracteres. TodoAhora se pueden descifrar contraseñas de 8 caracteres en 13 horasen una máquina de construcción propia que cuesta $12000 (principalmente para las GPU)
Respuesta3
La dificultad de forzar una contraseña depende de al menos dos variables:
- Longitud de la contraseña.
- Caracteres de contraseña permitidos.
La primera es obvia. Si me limito solo a letras (26 letras pequeñas+26 mayúsculas), entonces
- Una contraseña de una sola letra se puede adivinar en un máximo de 52 intentos.
- Una contraseña de dos letras se puede adivinar como máximo en 2704 intentos (52×52)
- Una contraseña de tres letras se puede adivinar como máximo en 140608 intentos (52×52×52)
Como puede ver, el número de combinaciones aumenta rápidamente. Por lo tanto, cuanto más larga sea la contraseña, más difícil será aplicar fuerza bruta.TI debería fomentar contraseñas largas.
Sin embargo, muchas aplicaciones antiguas sólo aceptan contraseñas de hasta 8. Esto es simplemente demasiado corto para una buena seguridad. Si está limitado a esos 8 caracteres. límite, o sabe que sus usuarios no usarán contraseñas largas, hay otra manera de hacer que las contraseñas sean más difíciles de forzar: hacer que la contraseña use un conjunto de entradas más grande que solo letras. Añade dígitos. Agregarcosas raras en el teclado.
Ésta no es una buena solución. Es una solución alternativa para compensar al usuario medio o a los sistemas antiguos. Una contraseña comoBateríaCaballoGrapa(longitud 18) es mucho más difícil de descifrar que la mayoría de contraseñas cortas pero complejas. Sin embargo, la mayoría de la gente será demasiado vaga para escribir eso.
Quizás notes que utilicé constantemente el términofuerza bruta una contraseñay nodescifrar una contraseña. Esto se debe a que existen otras formas de descubrir las contraseñas de alguien. Por ejemplo, podrías simplemente adivinar.
Los diccionarios no son más que grandes listas de palabras para adivinar, y los programas para descifrar contraseñas son lo suficientemente inteligentes como para probar variaciones de palabras en los diccionarios.
Esto hace que las palabras de dicho diccionario no sean adecuadas tanto para contraseñas como para su uso en frases de contraseña.