¿Es 1q2w3e4r una contraseña segura?

[Divulgación: trabajo para AgileBits, los creadores de 1Password]

Ciertamente no es seguro ahora que lo ha publicado, pero nunca fue una buena contraseña. “1q2w3e4r” aparece 872 veces en la colección de 10 millones de contraseñas de Mark Burnett.

Patrones de teclado

Los sistemas automatizados de descifrado de contraseñas (como John the Ripper y Hashcat) incluyen desde hace tiempo “patrones de teclado” entre sus conjuntos de reglas de descifrado. Más recientemente (2012), esto ha sido estudiado formalmente y aparece en este documento (PDF) por Hsieh-Cheng Chou y sus colegas: http://www.ijicic.org/ijicic-10- …

Aquí está parte del resumen de ese artículo.

[…] Un “truco” comúnmente usado es usar patrones de teclado, es decir, patrones de teclas en un teclado, para crear contraseñas que se ajusten a las reglas complejas. Este documento propone un método eficiente y efectivo para atacar las contraseñas generadas a partir de algunos patrones especiales de teclado. Creamos un marco para describir formalmente los patrones de teclado comúnmente utilizados de teclas adyacentes y teclas paralelas, llamadas patrones AP, para generar bases de datos de contraseñas. Los resultados de nuestra simulación muestran que el espacio de contraseña generado usando patrones AP es aproximadamente 2 ^ 44.47 veces menor que el generado para un ataque de fuerza bruta. […]

Aquí está la figura 6 de su artículo:

Los trucos inteligentes son una mala idea.

Más importante aún, debe tener en cuenta que las personas que descifran contraseñas saben más sobre los “trucos inteligentes” que las personas inventan que las personas que inventan ellos. La inteligencia generalmente reduce el espacio de búsqueda.

Recuerde que el objetivo no es alcanzar una combinación de letras, dígitos y símbolos. El objetivo es producir algo que sea difícil de adivinar mediante sistemas automatizados creados por personas que han visto millones de contraseñas.

Se requiere aleatoriedad real

Lo que necesitas en cambio es verdadera aleatoriedad. Como dije arriba, trabajo para una empresa que hace un administrador de contraseñas. La idea es que casi todas las contraseñas que utilices deben ser galimatías verdaderamente aleatorias generadas por una computadora. Pero debido a que no se puede recordar todo eso, un administrador de contraseñas las recuerda por usted.

Para el pequeño puñado de contraseñas, como la Contraseña maestra para su administrador de contraseñas, debe crear contraseñas memorables y seguras. El esquema para crear buenas contraseñas maestras que describí hace cuatro años es algo que creo que aún se mantiene: hacia mejores contraseñas maestras

La ” fuerza ” de la contraseña está determinada por 2 factores clave,
1. número de juego de caracteres
2. longitud de la contraseña.

El número de contraseñas posibles es igual al número de caracteres posibles generados a la longitud de la contraseña.

Fuerza de la contraseña = número de juego de caracteres ^ longitud de la contraseña

Ejemplos:
1. contraseña numérica de 6 dígitos:
Número de caracteres posibles (0-9) = 10
Longitud de contraseña = 6
Fuerza de la contraseña: 10 ^ 6 = 1,000,000

2. Contraseña alfanumérica de 4 dígitos:
Número de caracteres posibles (0 a 9 es 10 + aa z es 26 + A a Z es 26) = 62
Longitud de contraseña = 4
Fuerza de la contraseña: 62 ^ 4 = 14,776,336

Del mismo modo, tomamos un ejemplo de contraseña en cuestión:

Contraseña compleja: 1q2w3e4r
Número de caracteres posibles (0 a 9 es 10 + aa z es 26) = 36
Longitud de contraseña = 8
Fuerza de la contraseña: 36 ^ 8 = 2.8E + 12

Contraseña simple pero larga: Frederick * Douglos
Número de caracteres posibles (a a z es 26 + A a Z es 26 + los caracteres especiales permitidos son (supongamos) 10) = 62
Longitud de contraseña = 17
Fuerza de la contraseña: 62 ^ 17 = 3.0E + 30

La contraseña simple es 1.0E + 18 (1 quintillón) veces más fuerte que la contraseña compleja.

Editar: Hay muchos otros factores que afectan lo fácil que es descifrar la contraseña de alguien. También hay una base de datos de 10000 contraseñas comunes y el 90% de las contraseñas se encuentran en 1 de ellas. Pero no quería poner demasiados detalles en esta respuesta. Solo quería dar una idea básica en términos simples sobre la seguridad de la contraseña.

De ningún modo.

Una vez que se descubre una contraseña, se agrega a un diccionario que utilizan los hackers y los probadores. La mera mención o el descubrimiento en una base de datos de contraseñas descifradas lo agrega al diccionario del hacker. Además, hay múltiples pruebas algorítmicas que buscan patrones de teclado comunes.

Herramientas como Evaluar la fuerza del pase, el ataque del diccionario evaluará las contraseñas.

La buena noticia es que 1q2w3e4r no es una de las 10.000 contraseñas principales, pero la “verificación de ataque del diccionario” informa:

‘1q2w3e’ + ‘4r’ no es una combinación de palabras segura. La palabra se compone de dos componentes: 1) ‘1q2w3e’ es una palabra del diccionario. 2) La cadena ‘4r’ sigue el patrón [uno o dos dígitos] [palabra del diccionario].

Por lo tanto, falla una prueba algorítmica de diccionario típica.

Protip: sospecho que cualquier contraseña que pruebe en un sitio como este probablemente se agregará al diccionario de ataque. Ciertamente no escriba contraseñas reales en ningún sitio web aleatorio.

Consulte también: xkcd: seguridad de la contraseña, xkcd: reutilización de contraseña

No. Primero, tiene ocho caracteres y solo usa letras minúsculas y dígitos. Es un conjunto de caracteres demasiado corto y demasiado pequeño. Solo hay [matemáticas] 36 ^ 8 [/ matemáticas] (aproximadamente 2.8e12) tales contraseñas, y de acuerdo con ese sitio web, se necesita una computadora moderna equipada con una GPU aproximadamente medio segundo para deslizar todo ese espacio.

En segundo lugar, es una combinación de dos secuencias muy simples. Probar varias combinaciones de secuencias simples (0123456789, qwertyuiop, abcdefg …) es lo primero que intentará usar el mejor cracker de contraseñas. Entonces, con un buen software, esa contraseña ni siquiera durará medio segundo.

En tercer lugar, acaba de publicarlo en un sitio público de Internet, por lo que, independientemente de sus méritos técnicos, su contraseña se ve comprometida.

Ninguna contraseña es “segura”.

De manera rutinaria, eliminamos el malware de los sitios web que han sido infectados por contraseñas robadas (el 17% de las veces esta es la causa raíz). Los hackers saben que muchas personas tienen credenciales de inicio de sesión para FTP, SFTP, FTPS, SSH, WordPress, Joomla o cualquier otro CMS / carrito de compras.

Muchos de los virus actuales son troyanos que roban contraseñas. Roban la URL de inicio de sesión, el nombre de usuario y la contraseña. Por lo tanto, no importará si alguien en un sitio de WordPress está utilizando un complemento que oculta u ofusca la URL de inicio de sesión, cambian su usuario administrador a rumplestiltskin y tienen alguna variación de [correo electrónico protegido] . Idoc10us como su contraseña, el troyano lo robará todo, lo enviará a los servidores de los hackers e iniciarán sesión e infectarán el sitio web.

Si los piratas informáticos pueden robar todo eso, entonces realmente no importa cuál sea su contraseña.

La clave es mantener su computadora local libre de virus. Sí, incluso las Mac son susceptibles a estos troyanos que roban contraseñas.

Esta contraseña #tech es un ejemplo de una contraseña generada a partir de un patrón, en este caso un patrón de teclado. Nos gusta usar patrones para proteger nuestras cuentas porque son más fáciles de recordar que las contraseñas, especialmente las contraseñas seguras.

Desafortunadamente, la mayoría de las contraseñas basadas en patrones se basan en el teclado QWERTY y, por lo tanto, son MUY comunes. De hacks recientes, podemos ver que 1q2w3e4r es el 27º más popular en Twitter; 20º más popular en vk.com y 9º más popular en mail.ru. Puede ver este análisis y más en http://www.passwordbingo.com/insights/ .

¿Es seguro?

No, no es. Esta contraseña a menudo se encuentra en el Top 50 de las contraseñas más utilizadas en cualquier sitio, por lo que será una de las primeras que alguien intente si desea ingresar a su cuenta. Si desea una forma SEGURA Y GRATUITA de generar contraseñas a partir de patrones, consulte http://www.passwordbingo.com/products/ .

Si está utilizando esta contraseña o cualquiera de las contraseñas basadas en patrones (como se detalla en el sitio anterior), le recomendamos que las cambie ahora.

No soy un experto en criptografía, pero puedo decirle de inmediato que no es una buena contraseña por una serie de razones:

1. Es demasiado corto : cuanto más corta es una contraseña, más fácil y rápido es romperla.
2. Contiene un patrón (1234): un criptoanalista escanea una contraseña en busca de patrones estadísticos, y una contraseña como esta se piratea bastante rápido.
3. No contiene letras minúsculas y mayúsculas, ni símbolos especiales : si no introduce complejidad, un atacante relativamente poco hábil puede piratearlo con bastante facilidad.
4. No es aleatorio, por lo que es vulnerable a un ataque de diccionario.

Respuesta rápida: no.

La ciberseguridad moderna sugiere contraseñas de al menos 3 palabras de diccionario. Entonces, digamos 20 caracteres, esos caracteres deberían ser al azar, no palabras que reconozcas. Lo más importante, no lo escriba ni lo publique en ningún lugar en línea, nunca.

¡No! Esa contraseña consta de dos cadenas incrementales. Sería más seguro “revolver” a los personajes. Además, si está permitido, ¡más de ocho caracteres, usando mayúsculas, minúsculas y símbolos, serían mucho más seguros!

No tiene suficiente entropía, usa solo dos conjuntos de caracteres (números y minúsculas), sigue patrones de escritura comunes (qwerty) y es demasiado corto. Entonces no.

Ya no es seguro, como ya lo has deleitado. Pero puede agregarle más caracteres en mayúscula, caracteres especiales, y también puede ser predictivo como ‘1234’ n ‘qwer’, ya que otros pueden recordarlo si lo supieran.

Intenta algo nuevo.

La contraseña debe tener más de 8 caracteres, también debe contener
Todas las llaves

Dígitos decimales
0-9
Alfa minúscula
Arizona
Alfa mayúscula
Arizona
Caracteres especiales
+, /
Caracteres especiales de teclado adicionales
` [correo electrónico protegido] # $% ^ & * () -_ = ;: ‘”, <.>?

No, verifique cualquier sitio de contraseña y él le dirá

Comprobador de seguridad de contraseña

sin letra mayúscula y demasiado corto para ser realmente fuerte.

No, no es. En primer lugar, tiene solo 8 caracteres. En segundo lugar, se compone de solo dos conjuntos: alfabetos y números. Aunque parece estar distribuido uniformemente uno, pero la longitud y “solo dos juegos” lo supera. ¡Por último, depende de para qué se utilizará!

Realmente ya no existe una contraseña ‘segura’. Estás en el camino correcto, solo asegúrate de cambiar tus contraseñas con frecuencia y variarlas entre cuentas.

No. Para empezar, ahora es una contraseña publicada que la hace inútil como contraseña. Entonces es demasiado corto, contiene secuencias fáciles, solo obtuvo caracteres de un grupo de 36 (az, 0-9). Básicamente su entropía es baja.

¿Es 1q2w3e4r una contraseña segura?

No. Como lo has revelado en internet, ya no es seguro.