¿Por qué se considera ‘correcthorsebatterystaple’ una contraseña segura?

No es. Nunca use la “grapa de batería de caballo correcta” como tu contraseña Es muy conocido y los descifradores de contraseñas seguramente lo incluirán entre sus primeros intentos porque se utilizó como un ejemplo para ilustrar una buena forma de encontrar contraseñas en XKCD 936 (“Fortaleza de la contraseña”):


Y, de hecho, tomar cuatro palabras comunes al azar produce una contraseña que es razonablemente difícil de adivinar, especialmente si realmente las elige al azar.

La razón por la que esto funciona es por la forma en que las personas adivinan las contraseñas. Básicamente, hacen uso del hecho de que si tiene una forma rápida de verificar si una contraseña es correcta, puede verificar muchas contraseñas usando una computadora. Y si no está acostumbrado a programar computadoras, puede ser bastante intuitivo cuántas contraseñas puede verificar una computadora.

Resulta que la cantidad de contraseñas posibles compuestas de 4 palabras “comunes” es mucho mayor que la cantidad de contraseñas posibles obtenidas al tomar una palabra “común” y modificar algunos caracteres, que es lo que muchos sitios web todavía fomentan que deben hacer los usuarios cuando tienen requisitos como “al menos un carácter en mayúscula, un número y un carácter especial”.

La caricatura XKCD considera el caso en el que el atacante no tiene la base de datos de contraseñas. Puede parecer una suposición obvia: si el atacante tiene la base de datos de contraseñas, entonces todo se pierde de todos modos, ¿verdad? Bueno, como resultado, no del todo. Le expliqué que en la respuesta del usuario de Quora a ¿Sabe Facebook mi contraseña ?, por lo tanto, si no sabe sobre hash, probablemente debería leer ese artículo.

De todos modos, como dije, la caricatura considera el caso en el que el atacante no tiene la base de datos de contraseñas, por lo que deben enviar todas las suposiciones al servicio asegurado por la contraseña. Personalmente, tengo la impresión de que las filtraciones de bases de datos de contraseñas hash son en realidad lo suficientemente comunes como para ser importantes para el “usuario promedio”, pero lo que sea … en aras de la discusión, Munroe supone que puede probar 1000 conjeturas por segundo, y que hay 2048 “palabras comunes”, y luego muestra que la contraseña de “una palabra con caracteres divertidos” tarda unos días en descifrarse, mientras que la contraseña de “cuatro palabras seguidas” lleva siglos.

Y fundamentalmente, su argumento es correcto. Si es un buen mecanógrafa y no es necesario ingresar su contraseña en los torpes teclados de la pantalla táctil del teléfono celular (¡un gran si!), Puede obtener una contraseña mucho más segura para una inversión de molestia dada utilizando la “grapa de batería de caballo correcta” “estrategia.

En términos de estrategias prácticas de contraseña, recomendaría lo siguiente como una mejor práctica a partir de 2015. (Es cierto que estoy un poco paranoico sobre estas cosas).

  1. Nunca use la misma contraseña en varios lugares. (Y no, “poodle3” y “poodle4” no cuentan como contraseñas diferentes).
  2. Use contraseñas largas y generosas al azar almacenadas en un administrador de contraseñas como 1Password para todo lo que razonablemente pueda tener disponible el administrador de contraseñas.
  3. Tener una contraseña segura para encriptar el administrador de contraseñas.
  4. Para cualquier contraseña que tenga que memorizar porque el administrador de contraseñas no está normalmente disponible, una contraseña de estilo XKCD-936 puede ser una buena opción. Esto generalmente incluye la contraseña maestra para el administrador de contraseñas y la contraseña de inicio de sesión en su computadora. Sin embargo, debe asegurarse de elegir las palabras al azar y de una lista de palabras bastante completa. Personalmente, tengo un guión para elegir 5 palabras al azar de una lista de 28257 palabras holandesas de 5–8 letras que dan un total de casi [matemáticas] 2 ^ {74} [/ matemáticas] posibilidades. Eso toma hasta 40 caracteres (un poco menos en promedio), y podría representar la misma cantidad de información en 12 caracteres de galimatías, lo que permite un alfabeto de 72 caracteres. Creo que 40 caracteres que componen 5 palabras holandesas hacen que sea más fácil memorizar una contraseña que 12 caracteres de galimatías, pero es cuestión de gustos.
  5. Para cualquier cosa que pueda conducir fácilmente al robo de identidad real, así como para hacer una copia de seguridad de la base de datos del administrador de contraseñas, si va a almacenarla en la nube, use solo servicios acreditados con autenticación real de dos factores, como Google, Dropbox, o Evernote
  6. Recuerde que una buena contraseña escrita y almacenada en una ubicación segura es mucho mejor que una contraseña incorrecta memorizada. Si una ubicación es lo suficientemente buena como para guardar su pasaporte, título del automóvil, título de la casa, etc., probablemente sea lo suficientemente buena como para contener una hoja de trucos con contraseñas, especialmente si no la etiqueta demasiado, los delincuentes casuales generalmente buscan cosas que pueden cerrarse rápidamente, como dinero en efectivo y joyas, pero pueden verse tentados si se enfrentan con un llamativo trozo de papel etiquetado como “Lista de contraseñas de Internet realmente importantes de una persona bastante rica”.

Related Content

¿Qué debo hacer para asegurarme de que una computadora usada sea completamente segura de usar? ¿Es suficiente borrar los discos duros y reinstalar el sistema operativo?

¿Cómo se detectan los virus?

¿Cómo es trabajar en seguridad de la información?

¿Qué formas creativas utilizan los sitios web para proporcionar el mismo nivel de seguridad que la autenticación de dos factores sin la molestia?

¿Cuáles son algunas herramientas de piratería éticas?

Sí. Según el artículo de Wikipedia, la seguridad de la contraseña, la entropía es el logaritmo de base 2 del número de contraseñas posibles, suponiendo que cada símbolo en la contraseña se produzca de forma independiente. Entonces, si su palabra del diccionario se elige realmente al azar, la entropía por palabra es de aproximadamente 15. Pero si se elige de un conjunto más pequeño o no es aleatorio, eso no es cierto. La entropía de “123456” o “contraseña”, cuando se usa como contraseña, es muy pequeña porque esas palabras están justo en la parte superior de la lista de palabras de un atacante típico.

Las permutaciones en una herramienta de craqueo actual como John the Ripper se basan en permutar palabras del diccionario: batería -> [correo electrónico protegido] , [correo electrónico protegido] , batería2, batería23,! Batería, etc. (o si su nombre es Sarah; sarah, sarah1 , _Sarah, etc.) No son combinaciones de palabras. Una contraseña de 4 palabras aleatorias daría unas 10 ^ 18 combinaciones que tomaría un tiempo irrazonablemente largo para probar, más que la edad actual del universo en una GPU moderna o algo similarmente absurdo.
La probabilidad de que se adivine una contraseña de este tipo es pequeña en comparación con la capturada por un keylogger (ya sea en el cliente o en el servidor), o si se ve obligado a divulgarla.

Andy Houghton

La afirmación de 44 bits de entropía realizada por XKCD supone que se eligen cuatro palabras al azar de una lista de 2048 palabras. Eso es 11 bits por palabra porque cada palabra es una de 2048 y 2048 = 2 ^ 11.

La aleatoriedad es la clave. Yo diría que la mayoría de los humanos, en la práctica, (a) no elegirán de una lista de palabras casi hasta 2048, y (b) no elegirán al azar. Claro, se les puede dar herramientas para elegir palabras con verdadera aleatoriedad, o la mejor aproximación de aleatoriedad que las computadoras pueden hacer, de todos modos. También se les pueden dar herramientas para elegir palabras de una lista de palabras más larga. Sin embargo, la naturaleza humana dice que en su mayoría no los usarán. Sentirán erróneamente que las cuatro palabras son lo suficientemente buenas, por lo que las elegirán ellos mismos.

Además, el hecho simple es que la mayoría de los sitios web rechazarán contraseñas como “grapa de batería de caballo correcta”, porque es demasiado larga o no cumple con sus reglas de complejidad. Y aunque las restricciones de longitud no son buenas, el código puede verificar el cumplimiento de las reglas de complejidad y realmente no puede verificar la aleatoriedad de las opciones de palabras, por lo que dudo que haya mucho interés en adaptar el código de aceptación de contraseña para aprobar contraseñas como ” grapa de batería de caballo correcta “.

Andy Houghton

Aquí hay un video que muestra cómo crear contraseñas fuertes y memorables

Andy Houghton

More Interesting

¿Usar servicios como VeriSign aumenta la probabilidad de que el consumidor descargue su producto?

¿Qué tan seguro es MD5?

¿Son estos signos de que he sido pirateado a través de wifi protegido por contraseña (módem)?

¿Cuáles son las peores infracciones de la política de TI que ha hecho o escuchado en su empresa?

¿Cuál es la instancia más exitosa de "seguridad por oscuridad" en la seguridad de la información?

Cómo encontrar un mentor como Chris Roberts de One World Labs (empresa de inteligencia de seguridad) y continuar una búsqueda pasiva del conocimiento en seguridad cibernética

¿Cuál es el cálculo diplomático y de seguridad w / r / t que enfrenta China sobre sus actividades de ciberwareware en aumento que afectan los intereses estratégicos de Estados Unidos, públicos y privados?

¿Qué tan bien funciona el cifrado de disco completo en los modos de bajo consumo o de suspensión?

¿Qué debe hacer después de notar que su Yahoo! Se accedió al correo desde Bakersfield (cuando no vives en Bakersfield) y de repente hay un montón de direcciones extrañas en tus contactos de Messenger.

Cómo eliminar el virus yeabeast de Windows de forma permanente

¿Cuál es la probabilidad de que todas las computadoras Microsoft O / S conectadas a Internet sean deshabilitadas / formateadas en un evento coordinado de pirateo o virus?

¿Qué sucede si un virus informático ataca su computadora portátil?

¿Qué medidas se toman para encontrar a los hackers de ransomware?

¿Qué le da más seguridad a sus dispositivos, una contraseña o su huella digital?

¿Cómo definimos el cibercrimen?