¿Por qué los formularios de registro del sitio web me dicen que las contraseñas hechas de oraciones son débiles cuando son más difíciles de descifrar?

Hay muchos consejos y políticas de contraseñas realmente malos por ahí. Por lo tanto, no debería sorprendernos que muchos sitios tengan políticas irrazonables o incluso políticas tan tontas que hagan que los usuarios se comporten de manera insegura.

En este caso, el consejo de xkcd es muy limitado y solo funciona cuando se usa de una manera muy específica. Cuando la mayoría de las personas usan ese método, lo hacen de una manera que derrota la seguridad del método. ¡Incluso sugeriste usarlo incorrectamente en tu pregunta!

El consejo de xkcd solo funciona cuando usa una secuencia de palabras aleatorias ; no cuando usas una “oración” o frase que significa algo.

El problema está en el mundo real, la gente rara vez toma un diccionario y une más de 5 palabras al azar. Por lo general, solo ponen una frase común como “que la fuerza te acompañe”, una línea de Shakespeare o algo similar. Usar una oración o frase conocida es tan seguro como usar “contraseña” porque elimina toda la aleatoriedad / entropía.

Entonces, en teoría, usar palabras es una excelente manera de asegurar su cuenta. Sin embargo, en la práctica, demasiadas personas lo hacen tan mal que no es inteligente permitir solo letras como contraseña.

Mis 2 centavos sobre cómo hacer / usar buenas contraseñas:

Obtenga un administrador de contraseñas (por casualidad uso KeePass porque es gratis y no es un “servicio web”), y use contraseñas únicas generadas al azar para cada cuenta. La configuración tarda un tiempo, pero vale la pena.

Para su archivo de contraseña, memorice una cadena aleatoria de ~ 12 números y letras. Escríbelo en una hoja de papel y guárdalo en tu bolsillo. Durante los primeros días, será un gran dolor abrir el archivo de contraseña. Dentro de una semana podrás escribir la secuencia aleatoria mientras duermes usando la memoria muscular. Luego puede quemar / triturar / comer / etc. el papel y tendrá una configuración segura.

Personalmente uso la sincronización de BitTorrent para mantener mi archivo de contraseña sincronizado automáticamente entre todos mis dispositivos en segundo plano, pero hay otros métodos que también funcionarán.

Related Content

Cómo borrar cookies / caché para un solo sitio web en el navegador Chrome

¿En qué sitio web puedo buscar piso sin corredor en Pune?

¿Cómo debo hacer para vender un dominio a un sitio web grande que estoy seguro de que estaría interesado en él?

¿Cuál es mejor: Quora, Stack Exchange o Reddit?

¿Cuál es la mejor alternativa para marcos en html?

Para comprender esto, debe tener en cuenta este principio rector:

La fortaleza de un sistema de creación de contraseñas no es cuántas letras, dígitos y símbolos terminas, sino cuántas maneras puedes obtener un resultado diferente usando el mismo sistema.

La entropía se calcula de manera diferente para una contraseña basada en caracteres y una contraseña basada en palabras. Vea mi respuesta aquí para una explicación de esas diferencias:

La respuesta de Khad Young a ¿Puede ayudarme a demostrar que las contraseñas más largas en minúsculas + números solo son más fuertes que las contraseñas más cortas, en mayúsculas y minúsculas + números + símbolos?

Como tal, no todos los medidores de seguridad de contraseña están equipados para manejar los diferentes cálculos. La fuerza de una contraseña depende en gran medida del sistema por el que se generó. Eso no es algo que pueda determinarse con confianza inspeccionando una sola contraseña.

Incluso los mejores medidores de seguridad de contraseñas serían inútiles en la siguiente situación mencionada en la respuesta de mi colega Jeffrey Goldberg a ¿Cómo determina el indicador de seguridad de contraseña de 1 Contraseña la seguridad de una contraseña?

Supongamos que tenemos un esquema tonto en el que arrojaste una moneda. Si surgió cara, usó la contraseña l&JXcpakQM8jOjYhb2y"N y si aparecía en cruz, usaría la contraseña .mVqm|Yv7NMfipFHqK6fg . Cada una de esas contraseñas se ve muy fuerte, pero debido a que el sistema solo le da dos posibilidades, es un sistema terrible .

Los medidores de fuerza simplemente no pueden dar cuenta de un sistema tan pobre de generación de contraseñas. De la misma manera, la mayoría de ellos no tienen en cuenta correctamente los buenos sistemas como Diceware (o “contraseñas basadas en palabras” o “contraseñas xkcd”, como a veces se les llama coloquialmente).

Antes de terminar, debo mencionar que es de suma importancia que las palabras en una contraseña basada en palabras se elijan al azar: tirar los dados o CSPRNG calibrado adecuadamente. Los cerebros humanos no son lo suficientemente aleatorios.

Fuente: xkcd: I’m So Random

Andrew Daviel

Jesper probablemente tenga la mejor respuesta a su pregunta “(por qué) los formularios de registro en línea me dicen que las contraseñas hechas con caracteres son muy débiles”. El peor sitio que he visto silenciosamente truncó la contraseña para que los fuertes “falafels-drive-like-waffel” se convirtieran en los débiles “falafels”. Las primeras computadoras en algunos casos tenían un almacenamiento de contraseña aún más corto (32 bits = 6 caracteres en mayúscula).

Pero la seguridad de la contraseña (entropía) es solo una pequeña parte del problema.

Hay varias formas en que los intrusos pueden obtener su contraseña:

Se lo diste (phishing)

Ataques de diccionario en línea: una computadora prueba una cantidad (decenas a cientos) de contraseñas contra un servicio en línea, concentrándose en contraseñas que se sabe que funcionan en otro lugar y en otras “estúpidas” como “contraseña”. Por ejemplo, intentos de contraseñas SSH (desde 2010). (Comencé a registrarlos nuevamente recientemente, pero aún no he publicado una nueva lista). Como recuerdo, el hack de “fotos de celebridades” fue un ataque de diccionario contra iCloud, donde el mismo PIN corto que funcionaba para desbloquear el teléfono de alguien también funcionaría Acceso web: un problema de diseño que se ha solucionado.

Ataques de diccionario sin conexión: un pirata informático obtiene una lista de contraseñas hash después de ingresar a un sistema y obtener acceso de administrador (hace 20 años, el acceso regular de los usuarios a menudo era suficiente) Luego, una computadora prueba millones de contraseñas, desde listas de palabras que incluyen poesía, Star Trek y jerga médica, y múltiples variantes de las mismas, para encontrar una coincidencia. Eso encontrará cosas como “Andrew” (es mi nombre), y ‘@ ndr3w “(sustitución de leetspeek) en unos segundos y” digging22 “en unos minutos, y palabras verdaderamente aleatorias de 8 caracteres como” yH (uoNY! O + “En unas pocas semanas (suponiendo que las contraseñas estén saladas y las tablas de arcoíris no se puedan usar)

Captura de pulsaciones de teclas en el servidor: un servidor es pirateado y modificado para capturar todas las contraseñas de los usuarios y enviarlas a un hacker.

Captura de pulsaciones de teclas en el cliente: una PC está infectada con un troyano keylogger que captura las contraseñas, números de tarjetas de crédito, etc., y los envía a un hacker.

Un intruso puede adivinar sus respuestas de restablecimiento de contraseña, o encontrarlas en las redes sociales u otros sitios web, y restablecer su contraseña, u obtener acceso a su correo electrónico y usar eso para restablecer o acceder a las contraseñas de otros sitios.

Tener una contraseña realmente segura solo lo protege de ataques de diccionario, y esa no es la mayor amenaza. Tener un “color favorito” de “rojo” (absurdamente baja entropía) es un problema mucho mayor. Por lo tanto, en mi opinión, no tiene mucho sentido aumentar la entropía de la contraseña más allá de “lo suficientemente bueno”, es más importante también tener al menos la entropía “OK” en las preguntas de restablecimiento, y evitar compartir contraseñas entre sitios críticos (correo electrónico, banca, redes sociales) y no críticos (juegos, foros web): recuerde, si un pirata informático puede obtener un millón de contraseñas de una vez desde un servidor inseguro, ¿por qué se molestarían en tratar de obtener solo una de usted? Evitar contraseñas a favor de certificados o tokens criptográficos (por ejemplo, claves SSH) lo protegerá contra la captura de pulsaciones de teclas.

Martin Toews

Debido a que las pautas de contraseña oficiales utilizadas en estándares como PCI, ISO 27001, HIPAA, SCAP, etc., todas remontan su origen a sistemas anteriores a 2000, piense en IBM Mainframes, Novell Netware 286, DEC Mini, etc., que tenían un límite de longitud de contraseña de ~ 8 caracteres

Los campos de contraseña largos son una invención relativamente nueva y los estándares de seguridad aún no se han puesto al día.

Asegúrate de revisar las respuestas de Khad Young y Rajan Bhavnani, ya que explican por qué las contraseñas largas pueden no ser tan seguras como crees,

Martin Toews

El problema con las contraseñas de frase es la longitud. Tenga en cuenta que Microsoft Outlook redujo la longitud de sus contraseñas a 16 caracteres hace unos años. Eso tiene que ver con el tiempo de cálculo de N hashes, etc. para validar su contraseña.

Mi sugerencia es mezclar ambas ideas: contraseñas cortas (con letras mayúsculas, números y símbolos mixtos) y contraseñas fáciles de recordar tipo frase.

Un ejemplo: en las ciudades, las casas y las familias generalmente se conocen con un apodo de dos palabras que es lo suficientemente específico como para asegurarse de que no están relacionados con modismos que podrían incluirse en un diccionario de fuerza bruta. Digamos que la casa de mi tío se conoce como ‘medio higo’, porque cuando venden higos los cortan para alcanzar el peso exacto.

Toma ‘half fig’ y transfórmalo de una manera específica. Este método de transformación se puede aplicar a todas sus contraseñas porque el apodo inicial sería diferente en cada caso. Un ejemplo sería poner en mayúscula cada 3 letras y colocar al lado un número correlativo después, comenzando por la longitud del apodo. ¡Los espacios en el apodo derivarían en! o dependiendo de si la longitud del apodo era un número par o impar. Eso convertiría el apodo en: ‘haL7f? FI8g’

Como puede ver, recordar ‘haL7f? FI8g’ es difícil. Pero componerlo de ‘medio higo’ es trivial.

Bar Akiva

El script que se ejecuta le dice que informe la solidez de su verificación de contraseña para ver si tiene …

capital, símbolo, número, letra.

4 de los 4 son fuertes.

3 de los 4 son medianos.

2 0f el 4 es débil.

1 de los 4 ni siquiera es válido.

car-falafel-drives-like-waffel tiene 2 de los 4 y, por lo tanto, es una contraseña débil.

editar. No es así como se ejecutan TODOS los sitios de verificación de contraseña. Es un ejemplo de cómo se podría ejecutar.

Andrew Daviel

Comprueba el número de mayúsculas, minúsculas, alfanuméricos, símbolos y, finalmente, el número total de caracteres … En el tuyo solo usaste minúsculas y solo 1 símbolo … así que te dice que tu contraseña es débil … Prueba algo pequeño con todo tipo de caracteres … Como “QuOrA: * 1” “FaCeBoOk! 1” mostrará una contraseña segura.

Bar Akiva

More Interesting

¿Cuáles son los mejores sitios web que se centran en la fotografía de iPhone?

¿Cómo ganan dinero los sitios de revisión de juegos?

¿Cuáles son las mejores empresas para traducir un sitio web en varios idiomas?

Cómo crear un blog o sitio de música

¿Por qué las escuelas dicen que Wikipedia es un mal sitio web cuando todos saben que es el mejor y más completo para la investigación?

Cuando crea un sitio web, ¿debe comenzar a escribir código desde el encabezado o el cuerpo o el pie de página?

Quiero crear un sitio web para vender pantallas de lámparas de diseño en línea. ¿Con qué agencias puedo trabajar para hacerlo en India?

Cómo comenzar un análisis del sitio web

¿Qué necesito aprender para hacer algunos elementos visuales para un sitio web?

¿Quién puede usar los sitios web de Google?

¿Por qué es obligatorio proporcionar una propuesta como diseñador de sitios web?

Si creo un sitio web para mi escuela y al director le gusta. ¿Por cuánto debería venderlo?

¿Cómo es mi sitio web www.metrikhive.in?

¿Por qué no se están localizando los sitios web?

¿Qué tan popular es Twitter en la República Popular de China?