Recientemente pasé por el tedioso proceso de cambiar todas mis contraseñas por algo más seguro. Hice lo que generalmente se recomienda hoy en día: lo hice con 16 caracteres, incluidos símbolos, números, mayúsculas, minúsculas, etc., hasta que el producto final parecía más o menos una cadena de datos aleatoria.
Y luego me encontré con lo siguientecomic xkcd, lo que esencialmente me dice que es mejor simplemente usar algunas palabras seguidas, ya que esto tendrá el 99% de la seguridad práctica y al mismo tiempo será más fácil de recordar.
Entonces mi pregunta es, ¿qué tan correcto es este cómic?
Respuesta1
Si y no. Ha habido mucha discusión en Security.SE sobre el tema. Comencemos con una cita deuna respuesta de Jeff Goldberg:
Lo que el cómic XKCD no comunica eficazmente es que la selección de palabras debe ser (uniformemente) aleatoria. Si se pide a los humanos que elijan palabras al azar, se obtiene una fuerte preferencia por los sustantivos concretos. Estos sesgos pueden y serán explotados.
Este es probablemente el ataque más importante contra el esquema XKCD. Los humanos son terribles a la hora de crear cualquier cosa al azar [cita requerida]. "Me encantan mis maravillosos perros y gatos." es ciertamente lo suficientemente "largo", pero de ninguna manera es impredecible.
(Aparte, Jeff también señala que el esquema XKCD en realidad no es original de Randall Munroe:
La idea general de contraseñas "similares a XKCD" se remonta al menos a la épocaContraseñas de un solo uso S/Keydesde principios de los años 1980.
)
Elrespuesta más votadanos recuerda el hecho de que necesitamos saber contra qué nos estamos defendiendo:
Una de las muchas razones por las que no hay consejos consistentes sobre contraseñas es que todo se reduce a una cuestión de modelado de amenazas. ¿De qué estás tratando de defenderte exactamente?
Por ejemplo: ¿está intentando protegerse contra un atacante que se dirige específicamente a usted y conoce su sistema para generar contraseñas? ¿O eres sólo uno entre los millones de usuarios de alguna base de datos filtrada? ¿Se está defendiendo contra el descifrado de contraseñas basado en GPU o simplemente contra un servidor web débil? ¿Estás en un host infectado con malware?
Creo que deberías asumir que el atacante conoce tu método exacto para generar contraseñas y solo está apuntando a ti. El cómic xkcd asume en ambos ejemplos que se conocen todos los detalles de la generación.
Echa un vistazo a esta breve lista. Si encaja en este perfil, entonces el esquema XKCD probablemente sea el adecuado para usted:
1. La contraseña se utilizará en un solo lugar.
2. Lo único que le importa es mantener a las personas honestas y a los guionistas fuera de su cuenta o de sus datos.
3. Bueno... realmente no existe un 3.
Para decirlo sin rodeos, a menos que estés dispuesto a utilizardadosPara generar una contraseña memorable, no se moleste con el esquema XKCD por nada serio.Troy Hunt analizó esto hace algún tiempo. Como dice cerca del final de esa publicación, el "mejor" consejo sobre contraseñas es utilizar contraseñas completamente aleatorias y un administrador de contraseñas:
En total, estoy rastreando ciento treinta cuentas. Muy pocas personas leerán esto y tendrán menos de 30 cuentas, incluso si no puedes recordarlas todas en este momento (¿puedes realmente recordar todas las cuentas que has creado?) Sé honesto, agrégalas. todo y vea a qué llega, incluso los que no usa con tanta frecuencia. Y si no tienes 30 cuentas ahora, ¿cuánto tiempo pasará hasta que las tengas? Después de haber pasado recientemente por el ejercicio de administración de contraseñas con mi padre, de unos 60 años, y sin tener experiencia en tecnología, sé que, en el peor de los casos, cualquier usuario habitual en línea casi seguramente tendrá más cuentas de las que puede contar con los dedos de las manos y los pies, y definitivamente más. de lo que pueden aplicar su memoria.
No tengo 130 cuentas, pero ciertamente tengo más que los dedos de las manos y de los pies en mi administrador de contraseñas. Cada vez que cambio la contraseña de la computadora de mi trabajo, me toma alrededor de tres semanas de uso continuo antes de poder memorizarla. ¡Y esa es una de las 2 o 4 contraseñas que ingreso manualmente! Intente ampliarlo a 30-100 cuentas y simplemente no funciona.
Respuesta2
¿Quieres contraseñas seguras, no sólo una? Use un generador y haga que sus contraseñas sean aleatorias lo más largas y complicadas posible: Edward Snowden afirma que la NSA puede probar alrededor de mil millones de posibilidades por segundo, por lo que será mejor que esté preparado :-) Luego use un administrador de contraseñas para realizar un seguimiento de todas sus contraseñas. contraseñas.