¿Cuáles son las contraseñas o contraseñas de varias palabras más seguras hechas con una combinación de letras, números y símbolos?

La razón por la que las contraseñas de varias palabras son seguras no depende de la “seguridad por oscuridad”; se basa en la gran cantidad de combinaciones de múltiples palabras. Si elige cuatro palabras al azar de un vocabulario de 2000 palabras, como en el cómic xkcd, hay [matemáticas] 2000 ^ 4 \ aprox 2 ^ {44} [/ matemáticas] combinaciones posibles. (Los matemáticos llaman a esto “44 bits de entropía “). Incluso un atacante que sabe que usa este tipo de contraseña aún necesita probar un promedio de [matemáticas] 2 ^ {43} [/ matemáticas] antes de descubrir la correcta .

La suposición de que eligió las palabras independientemente al azar es importante. Si, por ejemplo, elige las palabras para que formen una frase real, el número de combinaciones posibles disminuye considerablemente.

La clave para crear contraseñas seguras es asegurarse de que la cantidad de combinaciones posibles sea enorme. Ya sea que logre esto usando más palabras, un vocabulario más grande, cadenas de letras, números o símbolos depende de usted. Cualquiera de estos puede usarse para lograr niveles equivalentes de seguridad si usa suficientes (de nuevo, elegidos independientemente al azar).

Por ejemplo, generé todas estas contraseñas con niveles de seguridad más o menos equivalentes :

  • mouse concerned tent liquid
    cuatro palabras comunes: [matemáticas] 2000 ^ 4 \ aproximadamente 2 ^ {43.9} [/ matemáticas] combinaciones
  • meer peanut woodstock
    tres palabras menos comunes: [matemáticas] 25000 ^ 3 \ aproximadamente 2 ^ {43.8} [/ matemáticas] combinaciones
  • llancaiach lektury
    dos palabras muy oscuras: [matemáticas] 4000000 ^ 2 \ aprox 2 ^ {43.9} [/ matemáticas] combinaciones
  • 5672494208949
    trece dígitos: [matemáticas] 10 ^ {13} \ aproximadamente 2 ^ {43.2} [/ matemáticas] combinaciones
  • boishduajyak
    doce letras de galimatías pronunciables: [matemáticas] 13.5 ^ {12} \ aproximadamente 2 ^ {45.1} [/ matemáticas] combinaciones (estimadas)
  • pvywodmdj
    nueve letras minúsculas al azar: [matemáticas] 26 ^ 9 \ aproximadamente 2 ^ {42.3} [/ matemáticas] combinaciones
  • IexXmLyC
    ocho letras mayúsculas o minúsculas aleatorias: [matemáticas] 52 ^ 8 \ aproximadamente 2 ^ {45.6} [/ matemáticas] combinaciones
  • (Nf5,!v
    siete caracteres ASCII imprimibles al azar: [matemáticas] 94 ^ 7 \ aproximadamente 2 ^ {45.9} [/ matemáticas] combinaciones
  • ฐጃॳ
    tres caracteres aleatorios Unicode (no del mismo idioma): [matemáticas] 24428 ^ 3 \ aprox. 2 ^ {43.7} [/ matemáticas] combinaciones

Como probablemente pueda ver, para un nivel de seguridad dado, es mucho más probable que el método de palabras múltiples genere contraseñas que realmente estará dispuesto a memorizar , en lugar de escribirlas en una nota adhesiva adjunta a su monitor o usar el misma contraseña en todos los sitios web.

(fuente de imagen)

Related Content

¿Cuál es la característica del soporte antivirus Kaspersky?

¿El certificado SSL es suficiente para protegerme de la política DMCA?

¿Vale la pena obtener 1 contraseña?

¿Por qué chroot (2) y chroot (8) requieren root?

Si dos partes comparten datos cifrados, ¿cómo comparten de manera segura datos sobre el cifrado en sí mismo sin que sea interceptado?

Antes de que alguien pueda responder una pregunta sobre cuál es más segura, la pregunta es “¿seguro contra qué?”

Lo más probable es que si un atacante tiene suficiente tiempo / o suficiente procesamiento, finalmente podrá obtener una contraseña. La mayoría de los esquemas de seguridad de contraseñas están presentes para garantizar que, o sea costoso por obligación (ralentizar el cálculo de un hash – PBKDF2, bcrypt, scrypt) o que el número de intentos sea limitado. Gmail muestra un CAPTCHA después de aproximadamente 5 intentos de ingresar una contraseña incorrecta.

Una contraseña está destinada a autenticar lo que sabe y la mayoría de las veces, cuando las investigaciones hablan sobre contraseñas de varias palabras o contraseñas que son lo suficientemente aleatorias, están tratando de proteger el descifrado de contraseñas sin conexión.

La razón de esto es doble

  1. Las personas reutilizan contraseñas para varias cuentas
  2. La mayoría de los usuarios mantienen contraseñas muy simples.

Entonces, entre la contraseña de varias palabras y las contraseñas hechas con una combinación de números alfanuméricos y símbolos, la única forma de comprender la seguridad es cómo planea administrar la contraseña.

Una contraseña difícil de recordar (combo con caracteres especiales) que olvida es inútil. Si lo escribe en un post-it o en un archivo de texto sin formato, existe la posibilidad de que alguien ya lo haya visto.

Una contraseña de varias palabras que se te ocurrió usando el diceware [1] se recorta si una cámara puede ver lo que escribes.

Lo más probable es que una contraseña segura en 2014 sea una contraseña que no pueda recordar y use un administrador de contraseña segura para administrar. Como la mayoría de los administradores de contraseñas requerirán que recuerde al menos 1 contraseña, tiene sentido agregar un factor adicional para la autenticación. En el caso de Lastpass puede ser Google Authenticator, en el caso de algunos de los administradores de contraseñas locales puede ser un archivo de clave privada adicional. Este archivo de clave o la contraseña de una sola vez basada en el tiempo de la aplicación Google Authenticator se convierte en lo que tiene y usar esto con lo que sabe (contraseña) puede permitirle administrar contraseñas imposibles de recordar. Obviamente, esta base de datos debe admitir el cifrado en reposo y el cifrado en movimiento también.

1. Diceware Passphrase Home

Anders Kaseorg

More Interesting

Cómo cambiar la contraseña de un usuario de terminal Telnet en Linux

Si desarrollo una funcionalidad (un software o una API) para resolver CAPTCHA, ¿se consideraría ilegal?

¿Puedo borrar / bloquear remotamente mi dispositivo Android?

¿Es necesario un firewall para su sitio web?

¿Qué es Xprotect que Apple usa como antivirus?

En términos de seguridad, ¿está Windows mal diseñado en comparación con un sistema operativo basado en Unix?

¿Por qué las cuentas de Wikipedia no necesitan contraseñas más seguras?

¿Se acabó el fiasco de WannaCry Ransomware? ¿Cómo escapar de eso?

¿Por qué los productos de Apple están libres de virus?

¿Cuáles son algunos resultados probables si uno de los principales proveedores de software antivirus como Norton tuviera su software comprometido con el malware troyano?

¿Es Avalance Security la mejor compañía para el entrenamiento de verano en redes y ciberseguridad?

¿Cómo podría saber si mi destinatario ve o abre mi correo en Gmail?

Cómo deshacerse del virus informático IMG001 sin usar software antivirus

¿Puedo ser bueno en la seguridad cibernética / prueba de la pluma si soy naturalmente más creativo y no el mejor en matemáticas?

¿Yubikey (o cualquier otro autenticador) reemplazará la contraseña estándar?