En xkcd comic # 936 , Randall Munroe afirma que las contraseñas como "Tr0ub4dor & 3" (palabra base poco común, mayúsculas, sustituciones de letras comunes con un número y sufijo de puntuación) tienen ~ 28 bits de entropía, mientras que toman cuatro palabras comunes aleatorias, como "caballo correcto grapa de batería", tiene ~44 bits de entropía y, por lo tanto, es mucho más fuerte.
Estoy confundido porque siempre me han dicho que tener números, mayúsculas y minúsculas y caracteres especiales era esencial para una contraseña segura...
¿XKCD tiene razón en esto?
Es cierto que no necesita números, caracteres especiales, etc. para una contraseña segura. Si, en cambio, aumenta la longitud de la contraseña, la entropía también aumentará. Ver por ejemplo esta tabla de entropía . Para obtener 64 bits de entropía, podría tener una contraseña de 14 caracteres en minúsculas, o podría tener una contraseña de 10 caracteres con todos los caracteres ASCII imprimibles, o podría tener una frase de contraseña con 5 palabras seleccionadas al azar de una lista de 7776 palabras (Diceware) .
El enfoque XKCD también se denomina frase de contraseña o, si se hace correctamente, es decir, palabras seleccionadas al azar en la frase de contraseña, como Diceware .
Las matemáticas se verificaron en security.SE y son aproximadamente correctas si asumimos una pequeña lista de palabras para diceware (~2000 palabras) y, y esto es crucial, palabras seleccionadas al azar. Tenga en cuenta que el cómic XKCD asume la aleatoriedad de las palabras en la frase de contraseña del diceware, pero asume un patrón para la contraseña (que es una suposición justa y también el punto del cómic, ya que nadie recuerda una contraseña de 11 caracteres verdaderamente aleatoria).
Tenga en cuenta que las personas son malas en la selección aleatoria , por lo que la dificultad real para adivinar la contraseña cuando no usa dados para generarla, y acepta el primer resultado, será menor.
La afirmación sobre la memorabilidad se examinó en el artículo Correcto elemento básico de la batería del caballo: exploración de la usabilidad de las frases de contraseña asignadas por el sistema (tenga en cuenta que el artículo usa frases de contraseña generadas correctamente en lugar de confiar en que los usuarios elijan frases de contraseña "al azar"):
Contrariamente a las expectativas, las frases de contraseña asignadas por el sistema funcionaron de manera similar a las contraseñas asignadas por el sistema de entropía similar en las métricas de usabilidad que examinamos. Las frases de paso y las contraseñas se olvidaron a tasas similares, lo que llevó a niveles similares de dificultad y molestia para el usuario, y la mayoría de los participantes escribieron ambas. Sin embargo, las frases de contraseña tardaron mucho más en ingresar a los participantes y parece que requieren corrección de errores para contrarrestar los errores de entrada. La facilidad de uso de la frase de contraseña no pareció aumentar cuando redujimos el diccionario del que se eligieron las palabras, redujimos la cantidad de palabras en una frase de contraseña o permitimos a los usuarios cambiar el orden de las palabras.
No existe una única respuesta correcta sobre cuánta entropía tiene una contraseña: el resultado dependerá de las suposiciones que haga el atacante al respecto, y estas son desconocidas. Se pueden hacer conjeturas más o menos razonables sobre estas suposiciones, dando valores de entropía más o menos razonables.
Este artículo en Explainxkcd cubre el cómic en cuestión. Explica las suposiciones que se hicieron para justificar los cálculos en el cómic. Estos cálculos son bastante pesimistas (es decir, se supone que el atacante conoce el diseño exacto de la contraseña de antemano) y suponen contraseñas basadas en palabras del diccionario , por lo que subestiman un poco la entropía de ambas contraseñas.
Como referencia, la prueba de seguridad de la contraseña encuentra que "Tr0ub4dor&3" tiene 52 bits de entropía (en lugar de 28 en el cómic), mientras que "correcthorsebatterystaple" tiene 94 bits (en lugar de 44). Esta estimación asume que el atacante utilizará el diccionario de combinaciones de pares de letras del idioma inglés. Como puede ver, los resultados son bastante diferentes, pero la afirmación hecha en el cómic también se aplica a este método de cálculo: tener una contraseña de palabra común más larga es mejor que tener una contraseña más corta con caracteres especiales.
Su problema es con esta suposición:
Estoy confundido porque siempre me han dicho que tener números, mayúsculas y minúsculas y caracteres especiales era esencial para una contraseña segura...
Esta afirmación es teóricamente cierta, pero falsa cuando se trata de cómo las personas realmente crean contraseñas. Simplemente reemplazar una o con un 0 y una a con un 4 no hace que su contraseña sea más segura. En el mejor de los casos, la nueva contraseña tiene una fuerza equivalente. En realidad, es probable que sea más débil porque estas sustituciones son tan populares que un atacante puede probar 0 y 4 antes incluso de probar o y a. Del mismo modo, poner en mayúscula la primera letra es tan natural que no agrega nada a la seguridad. Y agregar un dígito al final también es una opción popular que aumenta la complejidad de la contraseña solo un poquito, incluso con el carácter extra & agregado. Incluso los errores tipográficos (como trovador contra trovador) no desbaratan un ataque de diccionario por más de un poquito.
Por otro lado, NIST recientemente se alejó de esta recomendación (así como de cambiar regularmente las contraseñas y una serie de otras políticas de contraseñas comunes). En el mundo real, ambos sirvieron para socavar en lugar de mejorar la seguridad.
Tener dígitos y caracteres especiales solo mejora la seguridad si elige cada carácter individualmente al azar, simplemente porque un atacante tiene que adivinar cada carácter entre 90 o más caracteres. Si solo usa letras, un atacante solo tiene que adivinar entre 26 o 52 caracteres (dependiendo de si usa una combinación de mayúsculas y minúsculas).
En el caso de Tr0ub4dor&3, esos personajes no son aleatorios. Es probable que esta contraseña sea trivial de descifrar con un ataque de diccionario. La mayoría de la gente tiene un vocabulario activo de unas 1000 palabras, la gente educada de unas 6000 (en inglés). Estas 6000 palabras probablemente incluirían trovador. Por supuesto, un atacante con un ataque de diccionario probará todas las permutaciones de la palabra. Así que son quizás 100 versiones diferentes de la palabra "trovador".
Además, un atacante probaría primero las permutaciones más probables.
Entonces, un atacante bien puede probar "Tr0ub4dor" antes incluso de probar la palabra base "trovador". Esta palabra puede ser el número 3000 en el diccionario de contraseñas que un atacante intentaría (aunque después del XCKD, probablemente pasó al número 20), por lo que un atacante habría descifrado su contraseña en unos pocos miles o cientos de miles de intentos, lo que puede ser unos minutos a unas pocas horas con una computadora decente.
fredsbend
Nate Eldredge
bryan
Matthieu M.
jason c
natural
Rory Alsop
daniel r hicks
Sklivvz
Roman Gräf
usuario1643723
Robotnik
ben voigt
Cristos Hayward
Robotnik
Forja del Trueno
ben voigt
Carreras de ligereza en órbita
Carreras de ligereza en órbita
pensamiento extraño
PoloHoleConjunto
Shadur
Shadur