No es. Nunca use la “grapa de batería de caballo correcta” como tu contraseña Es muy conocido y los descifradores de contraseñas seguramente lo incluirán entre sus primeros intentos porque se utilizó como un ejemplo para ilustrar una buena forma de encontrar contraseñas en XKCD 936 (“Fortaleza de la contraseña”):
Y, de hecho, tomar cuatro palabras comunes al azar produce una contraseña que es razonablemente difícil de adivinar, especialmente si realmente las elige al azar.
La razón por la que esto funciona es por la forma en que las personas adivinan las contraseñas. Básicamente, hacen uso del hecho de que si tiene una forma rápida de verificar si una contraseña es correcta, puede verificar muchas contraseñas usando una computadora. Y si no está acostumbrado a programar computadoras, puede ser bastante intuitivo cuántas contraseñas puede verificar una computadora.
- ¿Cuáles son los pros y los contras de la función de cifrado de Whatsapp?
- ¿Me puede sugerir algún buen software antivirus que tenga la función de control parental?
- ¿Cuál es el futuro del ciber en la India?
- ¿Cuáles son las fuentes de virus informáticos?
- ¿Cuáles son las tendencias clave en el campo de la seguridad de la red?
Resulta que la cantidad de contraseñas posibles compuestas de 4 palabras “comunes” es mucho mayor que la cantidad de contraseñas posibles obtenidas al tomar una palabra “común” y modificar algunos caracteres, que es lo que muchos sitios web todavía fomentan que deben hacer los usuarios cuando tienen requisitos como “al menos un carácter en mayúscula, un número y un carácter especial”.
La caricatura XKCD considera el caso en el que el atacante no tiene la base de datos de contraseñas. Puede parecer una suposición obvia: si el atacante tiene la base de datos de contraseñas, entonces todo se pierde de todos modos, ¿verdad? Bueno, como resultado, no del todo. Le expliqué que en la respuesta del usuario de Quora a ¿Sabe Facebook mi contraseña ?, por lo tanto, si no sabe sobre hash, probablemente debería leer ese artículo.
De todos modos, como dije, la caricatura considera el caso en el que el atacante no tiene la base de datos de contraseñas, por lo que deben enviar todas las suposiciones al servicio asegurado por la contraseña. Personalmente, tengo la impresión de que las filtraciones de bases de datos de contraseñas hash son en realidad lo suficientemente comunes como para ser importantes para el “usuario promedio”, pero lo que sea … en aras de la discusión, Munroe supone que puede probar 1000 conjeturas por segundo, y que hay 2048 “palabras comunes”, y luego muestra que la contraseña de “una palabra con caracteres divertidos” tarda unos días en descifrarse, mientras que la contraseña de “cuatro palabras seguidas” lleva siglos.
Y fundamentalmente, su argumento es correcto. Si es un buen mecanógrafa y no es necesario ingresar su contraseña en los torpes teclados de la pantalla táctil del teléfono celular (¡un gran si!), Puede obtener una contraseña mucho más segura para una inversión de molestia dada utilizando la “grapa de batería de caballo correcta” “estrategia.
En términos de estrategias prácticas de contraseña, recomendaría lo siguiente como una mejor práctica a partir de 2015. (Es cierto que estoy un poco paranoico sobre estas cosas).
- Nunca use la misma contraseña en varios lugares. (Y no, “poodle3” y “poodle4” no cuentan como contraseñas diferentes).
- Use contraseñas largas y generosas al azar almacenadas en un administrador de contraseñas como 1Password para todo lo que razonablemente pueda tener disponible el administrador de contraseñas.
- Tener una contraseña segura para encriptar el administrador de contraseñas.
- Para cualquier contraseña que tenga que memorizar porque el administrador de contraseñas no está normalmente disponible, una contraseña de estilo XKCD-936 puede ser una buena opción. Esto generalmente incluye la contraseña maestra para el administrador de contraseñas y la contraseña de inicio de sesión en su computadora. Sin embargo, debe asegurarse de elegir las palabras al azar y de una lista de palabras bastante completa. Personalmente, tengo un guión para elegir 5 palabras al azar de una lista de 28257 palabras holandesas de 5–8 letras que dan un total de casi [matemáticas] 2 ^ {74} [/ matemáticas] posibilidades. Eso toma hasta 40 caracteres (un poco menos en promedio), y podría representar la misma cantidad de información en 12 caracteres de galimatías, lo que permite un alfabeto de 72 caracteres. Creo que 40 caracteres que componen 5 palabras holandesas hacen que sea más fácil memorizar una contraseña que 12 caracteres de galimatías, pero es cuestión de gustos.
- Para cualquier cosa que pueda conducir fácilmente al robo de identidad real, así como para hacer una copia de seguridad de la base de datos del administrador de contraseñas, si va a almacenarla en la nube, use solo servicios acreditados con autenticación real de dos factores, como Google, Dropbox, o Evernote
- Recuerde que una buena contraseña escrita y almacenada en una ubicación segura es mucho mejor que una contraseña incorrecta memorizada. Si una ubicación es lo suficientemente buena como para guardar su pasaporte, título del automóvil, título de la casa, etc., probablemente sea lo suficientemente buena como para contener una hoja de trucos con contraseñas, especialmente si no la etiqueta demasiado, los delincuentes casuales generalmente buscan cosas que pueden cerrarse rápidamente, como dinero en efectivo y joyas, pero pueden verse tentados si se enfrentan con un llamativo trozo de papel etiquetado como “Lista de contraseñas de Internet realmente importantes de una persona bastante rica”.