No importa cuán seguro sea el cifrado, no importa si un sistema nunca puede ser explotado, no importa cuán grande sea su hasher, fallará si su contraseña es “12345” o incluso neumonoultramicroscopicsilicavolcanoconiosis .
La fuerza bruta NUNCA ha sido obsoleta, y NUNCA lo será. Porque, en este momento, probablemente hay millones de cuentas de gmail, cuentas de Quora y cuentas de Facebook que tienen contraseñas muy pobres.
El promedio (y me refiero al promedio, ya que hay galletas que son mucho mejores y las que son mucho peores) puede pasar por un millón de combinaciones por segundo. Lo que significa que debe tener un mínimo de 10 letras en su contraseña para obtener una seguridad mínima.
- ¿Dónde guarda su contraseña de redes sociales y siente que es segura?
- ¿Cómo afecta a la facilidad de descifrar las contraseñas de usuario robadas la obtención de todas las sales en texto plano junto a las contraseñas hash y saladas?
- ¿Cuál es el proceso de piratería?
- ¿Cómo piratearías una cámara de seguridad?
- ¿Cómo piratean los hackers todo lo que necesitan?
Pero, ¿qué pasa con la neumonoultramicroscopicsilicavolcanoconiosis ? Ya ves, esa es una palabra. Uno de los métodos más comunes de burte-force es el “ataque de diccionario”, donde, como su nombre indica, un cracker toma una lista de todas las palabras del mundo y las prueba a todas. Entonces, ¿por qué alguien usaría una palabra real? Debido a que para las contraseñas de más de 7 caracteres, las personas tienden a olvidarlas y a recordarlas (recuerde: la seguridad a menudo se intercambia por conveniencia) las personas usan palabras. Incluso si es una palabra científica que PIENSAS que nadie sabe, el descifrador de contraseñas promedio podría pasar por todo el diccionario de Oxford (incluidas las 48,000 palabras obsoletas allí) en menos de un cuarto de segundo.
Aunque realmente no he oído hablar de sitios web que REQUIEREN que ingrese una contraseña compleja, he conocido a aquellos que requieren que ingrese una letra mayúscula, números y símbolos (menos probables). Incluso entonces, agregar un número a “Joe” para hacer que “Joe4” no ralentice exactamente una galleta.
Para saber cuál debería ser la longitud de su contraseña, hubo algo en las noticias en 2012, un clúster de 25 GPU supuestamente podría pasar por 350 BILLONES de contraseñas por segundo. Eso supuestamente fue suficiente para descifrar todas las contraseñas de Windows posibles. Pero ya ves, el problema que tengo al creer esto es que, bueno, OBVIAMENTE después de tal revelación, los piratas informáticos de todo el mundo comenzarán inmediatamente a piratear el correo electrónico, los archivos de texto, etc. del creador para obtener conocimiento del algoritmo. Si esto fuera real, la contraseña necesaria para vencer esto tendría que ser bastante grande, ¿verdad? Entonces, supongo que gg NSA?
Para que una contraseña sea efectiva, debe tomar al hacker al menos (mi opinión, recuerde) un año para descifrar. Por lo tanto, una contraseña debe tener más de 11,037,600,000,000,000,000 combinaciones. Si usa letras mayúsculas y no mayúsculas, puede vencer esto con una combinación de 12 letras (si mis cálculos son correctos), ya que tales combinaciones tienen aproximadamente 390,877,010,000,000,000,000, lo que significa que tomará aproximadamente 30 años para descifrar.
Teniendo en cuenta la “ley” de Moore, durante los cuatro años que pasaron este anuncio, esto daría como resultado 44.150.400.000.000.000.000, que todavía es derrotado por la combinación de 12 letras.
Pero, ya ves, ¿quién AMBOS para hacer una contraseña tan larga (?)? Puede reducir las letras mediante el uso de contraseñas como [correo electrónico protegido] # Hello123 (que simplemente mantiene presionada la tecla Mayús y presiona 123, dando los símbolos), aunque es su trabajo hacer los cálculos para calcular la longitud mínima de la contraseña. Pero ya ves, a la mayoría de las personas no les importa hacer esto, y dicen “¿WUT? ¿Cómo se las arregló para adivinar ‘Samuel123’? ”Y esto probablemente también refuerza la creencia de que todo“ pirateo ”está“ explotando ”. No, la mayoría de los pirateos se trata de aprovechar la pereza humana de no molestarse en hacer una contraseña de 7 caracteres. de 6 (lo que hace un aumento MASIVO al número de combinaciones necesarias para la contraseña. Viejos medio millón de crackers por segundo ven un salto de medio año a 14 años).
También hay problemas de phishing, por lo que no utiliza la misma contraseña para todas las cuentas, pero eso es para otro momento.
Espero haberte convencido de que la fuerza bruta siempre estará presente cuando la conveniencia sobre la seguridad continúe prevaleciendo.