Su comprensión es solo parcialmente correcta e irrelevante para su pregunta real.
Primero, los sitios web generalmente miden la fuerza de las contraseñas calculando la aparente “entropía” de lo que escribes. El verificador de fuerza tiene acceso completo a su contraseña real (consulte más abajo para obtener más información al respecto). La entropía de una contraseña es esencialmente el número de contraseñas diferentes que un atacante tendría que probar antes de adivinar su contraseña. Una contraseña de letra minúscula de un carácter tiene una entropía de 26, mientras que una contraseña mayúscula o minúscula tiene una entropía de 52. Dos caracteres tienen una entropía de [matemática] 52 ^ 2 [/ matemática], tres caracteres dan [matemática] 52 ^ 3 [/ matemáticas], etc. Entonces, un verificador típico adivina el conjunto de caracteres basado en lo que escribe contando 26 si usa una letra minúscula, +26 si usa una letra mayúscula, +10 si usa un dígito y alrededor de +30 para puntuación. Eso es llevado al poder apropiado.
Mi definición de entropía anterior habla de un atacante que intenta contraseñas. Cuanto más sepa el atacante sobre cómo generó la contraseña, menor será la entropía. Por ejemplo, si un atacante sabe que usó el algoritmo xkcd Password Strength, eso le da menos contraseñas para adivinar. Pero el algoritmo toma eso en cuenta al evaluar su entropía. Los verificadores de fortaleza del sitio web generalmente suponen que generó su contraseña al azar, pero lamentablemente ese es raramente el caso.
- ¿Cuál es la diferencia entre los cursos de piratería ética y seguridad cibernética?
- ¿Cuál es el mejor anti-spyware?
- ¿Cuáles son los beneficios de los servicios de monitoreo de seguridad?
- ¿Es segura la comunidad?
- Cómo garantizar una seguridad cibernética completa
Sí, como se menciona en otras respuestas, algunos verificadores de fuerza realizan búsquedas en el diccionario para medir la entropía, la mayoría de los cuales muestran la fuerza a medida que escribe no. Puede notar la diferencia ingresando “wordpass” y compárelo con “jwvzftnj” (que generé aleatoriamente a partir de las 21 consonantes usando el Servicio de números aleatorios verdaderos). ¿Son esos la misma fuerza? Luego observe lo que sucede mientras agrega tres caracteres más para obtener “wordpassnow” y “wordpass – 1A”. Si ese último de repente se vuelve muy fuerte de muy débil, sabes que está usando el algoritmo simple anterior.
En segundo lugar, tiene razón en que las contraseñas se verifican comparando hashes. Pero en algún momento el software necesita la contraseña real para calcular el hash. El hash podría calcularse en el navegador o en el servidor. En cualquier caso, la contraseña en sí misma nunca se guarda. Pero eso no tiene ningún impacto en la discusión anterior ya que la fortaleza (y si su contraseña cumple o no con los requisitos) se calcula antes de que se descarte la contraseña.
Si ve la fortaleza que se muestra más adelante (por ejemplo, en los paneles de Google Apps), esa fortaleza se registró cuando se ingresó y guardó la contraseña.
Más información aquí Fortaleza de la contraseña – Wikipedia