[Descargo de responsabilidad: trabajo para AgileBits , creadores de 1Password .]
Sacrificar pollos
La forma habitual de determinar la fuerza de una contraseña específica es sacrificar un pollo y luego leer las entrañas. Pero en 1Password, lo hacemos mejor. Calculamos el horóscopo del pollo antes de sacrificarlo. Dado que algunos de nuestro personal son vegetarianos, siempre estamos buscando enfoques alternativos.
- Cómo asegurar efectivo y objetos de valor
- ¿Qué software antivirus recomiendas?
- Virus informáticos: ¿Cómo se desplegaron Stuxnet y Flame en las instalaciones nucleares de Irán?
- Cómo proteger un sitio web de hackers
- ¿Qué le robaron los hackers a Yahoo en 2014?
Hazañas imposibles de fuerza
El triste hecho del asunto es que los medidores precisos de contraseña son imposibles (salvo pasar años o décadas tratando de descifrar la contraseña ofrecida). La razón es porque la fuerza de una contraseña depende en gran medida del sistema por el cual se generó. Eso no es algo que pueda determinarse con confianza inspeccionando una sola contraseña.
Supongamos que tenemos un esquema tonto en el que arrojaste una moneda. Si surgió cara, usó la contraseña l&JXcpakQM8jOjYhb2y"N
y si aparecía en cruz, usaría la contraseña .mVqm|Yv7NMfipFHqK6fg
. Cada una de esas contraseñas se ve muy fuerte, pero debido a que el sistema solo le da dos posibilidades, es un sistema terrible Por lo tanto, vemos que la fortaleza de un sistema de creación de contraseñas no es cuántas letras, dígitos y símbolos tiene, sino cuántas maneras podría obtener un resultado diferente usando el mismo sistema.
Entonces, por ahora, el medidor de fuerza de contraseña en 1Password usa el mismo tipo de heurística que otros. Comprueba una lista de 10.000 contraseñas populares. Busca palabras simples y combinaciones simples. Es muy sensible a la longitud de la contraseña.
Sin embargo, dudamos en entrar en demasiados detalles, porque jugamos con los detalles. Y definitivamente jugamos con los límites para varias etiquetas de lenguaje sencillo, como “fuerte”. Por ejemplo, el medidor de seguridad de la contraseña en 1Password 2.5.9 (enero de 2008) es mucho menos estricto que el de hoy. Esta es una de esas partes de 1Password que está sujeta a cambios.
Hay muchas cosas que podríamos hacer para mejorarlo. Podríamos usar algo como PACK (kit de análisis y descifrado de contraseñas) para descubrir las reglas utilizadas para las contraseñas más comunes y luego probar las contraseñas enviadas contra esas reglas. Podríamos incluir los métodos utilizados por zxcvbn, y hay otros conocimientos adicionales que podemos incorporar al sistema.
La razón por la que no hemos estado haciendo mucho de eso es por la disminución de los retornos marginales. Cada verificación adicional que realizamos agrega complejidad al código y ralentiza las cosas, pero hace una mejora relativamente pequeña en los resultados reales.
Entonces, la mala noticia es que no importa cuán inteligente sea el medidor de seguridad de la contraseña, su precisión será limitada. La buena noticia es que, por imperfectos que sean, los medidores de fuerza de contraseña realmente ayudan a las personas a seleccionar mejores contraseñas.
Disculpe, pero ¿de dónde sacaste esa contraseña?
Una mejora que puede ver en nuestro medidor de seguridad de la contraseña es distinguir entre las contraseñas creadas con el generador de contraseñas incorporado y todo lo demás. Podemos calcular la precisión de las contraseñas creadas por el generador. Una contraseña de 23 caracteres creada con el generador de contraseñas (incluso si se limita solo a letras) va a ser enormemente más segura que cualquier contraseña creada por humanos (128 bits de entropía indescifrables).
Pero hasta entonces, tenemos que ajustar el generador bajo el supuesto de que las personas están inventando las contraseñas que se están probando. Esto subestima drásticamente la fortaleza de las contraseñas creadas con nuestro generador de contraseñas, lo que le brinda una estimación muy conservadora.