La forma habitual de determinar la fuerza de una contraseña específica es sacrificar un pollo y luego leer las entrañas. Pero en 1Password, lo hacemos mejor. Calculamos el horóscopo del pollo antes de sacrificarlo. Dado que algunos de nuestros empleados son vegetarianos, siempre estamos buscando enfoques alternativos.
El triste hecho del asunto es que los medidores precisos de contraseña son imposibles (salvo pasar años o décadas tratando de descifrar la contraseña ofrecida). La razón es porque la fuerza de una contraseña depende en gran medida del sistema por el cual se generó. Eso no es algo que pueda determinarse con confianza inspeccionando una sola contraseña.
Entonces, la medida de la fuerza de la contraseña en 1Password usa el mismo tipo de heurística que otros usan. Comprueba una lista de 10000 contraseñas populares. Busca palabras simples y combinaciones simples. Es muy sensible a la longitud de la contraseña.
- ¿Qué debe hacer si alguien le está chantajeando por dinero en Skype? ¿Pueden realmente hacer algo para dañar tu reputación?
- Con la vigilancia desenfrenada y la intrusión de gobiernos y corporaciones, ¿quiénes son algunas personas técnicas confiables que trabajan para garantizar que nuestra privacidad no sea quitada?
- Cómo descargar la mejor versión gratuita y descifrada de un antivirus
- Cómo proteger los datos de una PC con una contraseña para que no se transfieran a discos extraíbles
- ¿Cuál es la mejor forma de practicar pentesting para aplicaciones web (cuadro blanco y negro) de forma gratuita?
Una razón por la que dudo en entrar en demasiados detalles es porque jugueteamos con los detalles. Y definitivamente jugamos con los recortes para varias etiquetas, como “fuerte”. El medidor de seguridad de contraseña en 1Password 2.5.9 (enero de 2008) es mucho más generoso que el de hoy. Así que esta es una de esas partes de 1Password que están sujetas a cambios.
Hay muchas cosas que podríamos hacer para fortalecerlo. Podríamos usar algo como el kit de análisis y craqueo de contraseñas PACK para descubrir las reglas utilizadas para las contraseñas más comunes y luego probar las contraseñas enviadas contra esas reglas. Podríamos incluir los métodos utilizados por zxcvbn Dropbox Tech Blog – zxcvbn: estimación realista de la seguridad de la contraseña y hay otros conocimientos adicionales que podemos incorporar al sistema.
La razón por la que no hemos estado haciendo mucho de eso es por la disminución de los retornos marginales. Cada verificación adicional que realizamos agrega complejidad al código y ralentiza las cosas, pero hace una mejora relativamente pequeña en los resultados reales.
Entonces, la mala noticia es que no importa cuán inteligente sea el medidor de seguridad de la contraseña, su precisión será limitada. La buena noticia es que los medidores de seguridad de las contraseñas, por defectuosos que sean, ayudan a las personas a seleccionar mejores contraseñas. Es oficial: los medidores de seguridad de contraseñas no son teatro de seguridad
Hay una mejora que me gustaría ver en nuestro medidor de fuerza. Debe distinguir entre las contraseñas creadas con el Generador de contraseñas seguras de 1Password y todo lo demás. Para las cosas creadas con Strong Password Generator, podemos calcular la fuerza precisa. Y, por ejemplo, cualquier contraseña de 16 caracteres creada con nuestro generador de Contraseñas (incluso si se limita solo a letras) será enormemente más segura que cualquier contraseña creada por humanos.
Pero hasta entonces, tenemos que ajustar el generador bajo el supuesto de que las personas están inventando las contraseñas que se están probando. Esto subraya dramáticamente la fortaleza de las contraseñas creadas con nuestro generador de contraseñas.
