¿Las contraseñas hash se rompen fácilmente?

¿La mejor manera de hacer que su contraseña sea segura?

  1. Nunca lo escriba y pregunte si es seguro “€ × @ mp / € [protegido por correo electrónico] $$ w0rd”: porque entonces está en línea, alguien puede verlo y agregarlo a su lista de posibles contraseñas.
  2. Cambie su contraseña a menudo: Esto evita que cualquier persona que tenga su contraseña obtenga acceso de manera regular o fácil.
  3. No se lo digas a nadie: la mejor manera de guardar un secreto es no decírselo a nadie, seguramente tu contraseña debería ser un secreto.
  4. Nunca use sitios web y contraseñas importantes en áreas no seguras: ya sea WiFi público, computadoras públicas, la computadora de otra persona. No lo haga, si ingresa a su sitio bancario en una computadora, no está completamente seguro de que esté a salvo del registro de teclas o de cualquier otra cosa posible, entonces no lo use para obtener información confidencial.

Ahora para contraseñas reales.

Cualquier cosa puede ser segura, pero para evitar la fuerza bruta, puede leer para obtener mejores ideas en línea o en otro lugar, pero solo voy a darme una humilde opinión no profesional.

  • Más tiempo es generalmente mejor
  • No hay palabras del diccionario.
  • Usar @ como A no lo hace mucho más seguro.
  • Hazlo memorable solo para ti
  • Los números son útiles
  • No repitas el mismo personaje
  • Los símbolos son menos comunes que los números que son menos comunes que usar letras
  • Cuanto menos común, mejor.
  • Agregar espacios (si es posible)
  • Si usted ha usado una contraseña en otro sitio, no la vuelva a usar a menos que ambas no sean igualmente importantes para usted.
  • Su contraseña de correo electrónico es la más importante, la oportunidad más frecuente (ya que la contraseña de restablecimiento suele ir al correo electrónico)
  • Configure la verificación en 2 pasos si es posible usando el teléfono.

Nota al margen: tome para qué sirve su contraseña y hágalo memorable haciendo que se correlacione con su uso

Es decir, la contraseña de la cuenta de cuota puede comenzar o finalizar con Qu0 y luego tener una secuencia de caracteres aleatorios que puede recordar.
Por ejemplo, Q & [correo electrónico protegido] @ 0

Cambie eso a una rima o algo fácil de recordar solo para usted.
Preguntas y respuestas. Respondes, pido 0.

Related Content

¿Pueden los coches Tesla ser pirateados como la gente piratea computadoras?

¿Por qué no existe un método de autenticación segura universal para demostrar mi identidad a los bancos y otros sitios web importantes?

¿Qué tan difícil es descifrar un documento (Openoffice / LibreOffice / MSOffice) que está protegido con contraseña?

¿Qué debe hacer si alguien le está chantajeando por dinero en Skype? ¿Pueden realmente hacer algo para dañar tu reputación?

¿Cómo afecta el acoso cibernético a nuestro bienestar?

Una entropía de 55 o más es suficiente; más que eso, está malgastando su tiempo (existe el riesgo de que un servidor sea pirateado, grabando contraseñas en tiempo real, no solo hashes, o que su PC tenga un troyano o alguien que lo grabe en video)

La entropía refleja la posibilidad de que aparezca un patrón; p1a2s3s4w5o6r7d8 parece que debería ser fuerte (alta entropía), pero no lo es, porque lo he visto probado contra dos computadoras separadas y está claramente en una lista en alguna parte. También lo es b4ckm3upsc077y – “Respaldarme Scotty” en el texto. Si crees que tienes una forma inteligente de codificar tu nombre o alguna palabra de Tolkien, probablemente ya se te haya ocurrido. Aquí hay algunos enlaces para listas de palabras y contraseñas comunes, y aquí está mi colección de contraseñas SSH intentadas en tiempo real. John the Ripper y col. Alabama. en realidad no rompen los hashes, hacen conjeturas y hacen una comparación. En orden, aproximadamente, probarán “contraseñas comunes”, variantes de su nombre o correo electrónico, cada palabra común en todos los idiomas de los que haya oído hablar, incluido el klingon, y sus permutaciones: l33tsp33k, CamelCase, sufijo numérico y prefijo. La última vez que miré, no probaron contraseñas largas, de más de unos 10 caracteres.

Evitar:

  • tu nombre o cualquier permutación
  • 123456, letmein, [correo electrónico protegido]
  • una contraseña que alguna vez usaste en otro lugar
  • una contraseña que aparece en cualquier lista de contraseñas descifradas

Una vez que tenga una contraseña de alta entropía, obtenga algunas respuestas para restablecer la contraseña de alta entropía. “Mi color favorito” tiene una entropía de solo 3 bits si dice “rojo”.

Nueva investigación: algunas preguntas difíciles para ‘preguntas de seguridad’

Si se trata de una contraseña para una tienda o archivo cifrado, anótelo de forma segura. Correo electrónico y computadoras puede hacer que alguien restablezca o omita. Si olvida las claves de cifrado, está jodido.

Puede usar mi generador de contraseñas de palabras aleatorias o copiar la idea (que es de Randall Monroe, no mía)

Can Baysal

No existe una “contraseña segura”. Es posible aplicar fuerza bruta a través de cualquier sistema de seguridad “solo con contraseña”. La mayor complejidad solo aumenta el tiempo que lleva realizar un ataque de fuerza bruta. Por lo tanto, verá muchas advertencias de “cambie su contraseña en xxx días” en la mayoría de los sistemas de complejidad forzada.

Si la contraseña es tan compleja (no está en el diccionario, hay muchos números, símbolos, etc.) es muy probable que tenga dificultades para recordar. De ahí el auge de los gestores de contraseñas. Ya sea programas de terceros, o instalaciones integradas del sistema operativo o utilidades integradas o de navegador extendidas. Hay innumerables administradores de contraseñas. Por eso: algunos “expertos en seguridad” están obligando a las personas a usar contraseñas extremadamente complejas. En el pasado, las personas tienden a escribir una contraseña para publicarla y adherirse a sus monitores. Por cierto que era más seguro que la situación actual. Ahora, en lugar de post-its, que requieren acceso físico, las personas usan herramientas con acceso continuo en línea, mucho más fáciles de hackear, gracias a contraseñas irrazonablemente complejas y de corta duración.

Si tiene algo que vale la pena conservar, debe usar una forma de autenticación de dos factores …

Can Baysal

El cifrado es un proceso matemático.

Cuando escribe un correo electrónico a alguien, se descifra en un lado con algún tipo de algoritmo que lo hace ilegible para cualquier otra persona. Cuando el otro lado recibe el mensaje, simplemente hará el mismo algoritmo en él, pero esta vez al revés para que pueda ser legible nuevamente (bueno, ¿verdad?).

Ahora, en el hash, el primer paso es el mismo, haciendo que su contraseña sea ilegible para cualquier otra persona, pero la diferencia es que el algoritmo que lo hizo no es reversible. ¿Estás preguntando cómo demonios sabrá que la contraseña que escribí es la correcta? Eres estúpido !!

Lo que se está perdiendo es que su computadora no necesita comprender la contraseña para que pueda verificar si ha escrito la contraseña correcta o no. Simplemente aplicará el mismo algoritmo en el texto que escribió y verificará si es el mismo o no.

Bueno, eso está bien, pero esta no era mi pregunta. aha eres estupido !!

Espera amigo, acabo de decirle el proceso para que puedas entender mejor la siguiente parte.

Ahora, el algoritmo que hace todas esas cosas mágicas puede ser tan simple como agregar uno a todos los números binarios de caracteres o tan complejo como tomar dos páginas para escribir la maldita cosa.

Entonces la respuesta a su pregunta es: depende de cómo lo hayan procesado. 🙂

Can Baysal

respondiendo a su pregunta principal, sí, lo hacen, principalmente porque cómo los sitios administran los hash de las contraseñas

El flujo de trabajo general para el registro y la autenticación de cuentas en un sistema de cuentas basado en hash es el siguiente:

  1. El usuario crea una cuenta.
  2. Su contraseña está cifrada y almacenada en la base de datos. En ningún momento se escribe la contraseña de texto sin formato (sin cifrar) en el disco duro.
  3. Cuando el usuario intenta iniciar sesión, el hash de la contraseña que ingresó se compara con el hash de su contraseña real (recuperado de la base de datos).
  4. Si los hashes coinciden, el usuario tiene acceso. De lo contrario, se le dice al usuario que ingresó credenciales de inicio de sesión no válidas.
  5. Los pasos 3 y 4 se repiten cada vez que alguien intenta iniciar sesión en su cuenta.

Se puede usar una contraseña sin cifrar sin el conocimiento de la contraseña real, por lo tanto, una tabla de búsqueda.

Las tablas de búsqueda son un método extremadamente efectivo para descifrar muchos hashes del mismo tipo muy rápidamente. La idea general es calcular previamente los valores hash de las contraseñas en un diccionario de contraseñas y almacenarlas, y su contraseña correspondiente, en una estructura de datos de la tabla de búsqueda. Una buena implementación de una tabla de búsqueda puede procesar cientos de búsquedas de hash por segundo, incluso cuando contienen muchos miles de millones de hash.

Si desea tener una mejor idea de lo rápido que pueden ser las tablas de búsqueda, intente descifrar los siguientes hashes sha256 con el cracker de hash gratuito de CrackStation.

c11083b4b0a7743af748c85d343dfee9fbb8b2576c05f3a7f0d632b0926aadfc
08eac03b80adc33dc7d8fbe44b7c7b05d3a2c511166bdb43fcb710b03ba919e7
e4ba5cbd251c98e6cd1c23f126a3b81d8d8328abc95387229850952b3ef9f904
5206b8b8a996cf5320cb12ca91c7b790fba9f030408efe83ebb83548dc3007bd

para más información mira aquí Hashing de contraseña salada segura

Can Baysal

Bueno, casi todas las contraseñas están encriptadas en 256 o 512 bits. Asegúrese de que su contraseña tenga al menos 8 caracteres y contenga:

  • Letras mayúsculas y minúsculas
  • Símbolos (esto dificulta el craqueo, ya que pocas personas usan símbolos, por lo que los piratas informáticos a menudo no descifran con los símbolos en mente, ya que lleva más tiempo que una cadena de números)
  • Números

Cuanto más diversificada y larga sea su contraseña, más segura será de ser descifrada.

Nunca use una palabra por sí misma. ¡Estará roto!

*editar*

Leet es una sustitución de craqueo común; no use, por ejemplo, ” [correo electrónico protegido]

Alex Trollip

La respuesta corta, basada en las velocidades actuales de la GPU, es:

  • Al menos 12 caracteres, 15 es mejor
  • Ninguna porción debe ser una palabra del diccionario
  • Al menos una mayúscula
  • Al menos una minúscula
  • Al menos un número
  • Al menos un carácter de puntuación
Can Baysal

More Interesting

¿Qué es un virus y un antivirus?

¿Cuál es el problema más difícil en seguridad informática?

¿Cómo pueden los hackers hackear tu computadora?

¿Qué tan seguro es BookMyForex?

¿Por qué es que un servlet es más seguro que PHP?

¿Cuánta codificación hacen los profesionales de seguridad informática?

¿Por qué las computadoras en Asia constantemente intentan acceder a mi correo electrónico y fallan?

¿Cómo diferenciamos entre el vector de salado, nonce e inicialización?

PCI del mundo real: ¿qué necesitamos realmente, qué tan difícil es realmente y cuánto cuesta realmente?

¿Qué tan seguros son los documentos DRM de la piratería?

¿Cómo se vio comprometido Buffer hoy (26/10/2013)?

Si tengo datos encriptados (AES) y tengo los datos originales, ¿puedo obtener la contraseña?

Cómo eliminar el virus 'TPOXA' en mi Macbook Air

Mantuve un código de seguridad para mi teléfono y olvidé, ¿cómo recuperar el código de seguridad (mi teléfono es videocon (no Android))?

¿Pueden los hackers rastrear la ubicación de su computadora?