Solidez del concepto de relleno de pajar de GRC.com [duplicado]

Question

Solidez del concepto de relleno de pajar de GRC.com [duplicado]

#1 de Mark Burnett (5 votos)

5

Me preguntaba cómo es el sonido el concepto presentado por la Gibson Research Corporation (vea a continuación si no desea siga el enlace) sobre contraseñas simples (= muy fácil de recordar) con la adición de relleno.

Comprendo a qué se enfrenta Gibson con el aumento del espacio de búsqueda, etc., pero me preguntaba si esto se aplica a los escenarios del mundo real, es decir, el uso diario de sus cuentas y la tranquilidad de que las contraseñas son "seguras" incluso si su entropía es super baja.

PARA AQUELLOS QUE NO QUIEREN IR AL SITIO WEB:

Gibson tiene una calculadora de espacio de búsqueda que indica cuál es el espacio de búsqueda para una contraseña determinada. El espacio de búsqueda depende de la longitud de las contraseñas y los caracteres que forman la propia contraseña (letras - mayúsculas y minúsculas - y / o números y / o símbolos)

Luego continúa con la importancia de la longitud de una contraseña y la mezcla de letras, números y símbolos.

Todo tiene un sentido perfecto, pero luego, argumenta que la "entropía" no es importante, en sus propias palabras:

ENTROPY: si tiene una inclinación matemática, o si tiene conocimientos y capacitación sobre seguridad, puede estar familiarizado con la idea de la "entropía" o la aleatoriedad y la imprevisibilidad de los datos. Si es así, habrá notado que la primera contraseña más fuerte tiene menos entropía que la segunda contraseña (más débil). Prácticamente todo el mundo siempre ha creído o se le ha dicho que las contraseñas derivan de su fortaleza de tener una "alta entropía". Pero como vemos ahora, cuando el único ataque disponible es adivinar, esa sabiduría común de larga data. . . es . . . no . . correcto!

Se refiere a 2 contraseñas:

1) D0g .....................

2) PrXyc.N (n4k77 # L! eVdAfp9

Y argumenta que aunque el primero es infinitamente más memorable que el segundo (e incluso contiene una palabra del diccionario), el tiempo para "descifrar" es un orden de magnitud mayor que el tiempo requerido para el otro, por lo tanto, es más seguro.

¿Este concepto suena? En términos sencillos ... ¿Debo cambiar todas mis contraseñas a algo como el primero (súper fácil y súper largo) o esto es solo pedir problemas en el mundo hiperconectado de hoy? :)

¿La entropía es completamente inútil en el mundo de "contraseñas de cuentas en línea"?

Tal vez debería plantearse esta pregunta en StackOverflow, ya que se refiere más al uso práctico de contraseñas de baja entropía en los mecanismos de autorización de sistemas informáticos en relación con el descifrado de contraseñas. No sé ...

¿Esto está bien ahora o debería ser aún más concreto? ¿Es este altogheter fuera de tema?

Dave

passwords cryptanalysis entropy

pregunta 03.12.2014 - 17:57

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords cryptanalysis entropy

¿Qué tipo de vulnerabilidad puede tener para ssh-hostkey conocido? Autenticación entre servicios web dentro del mismo proyecto

score 5 · Answer 1

Por supuesto, la entropía teóricamente hace que una contraseña sea más fuerte, pero desde la perspectiva de un descifrador de contraseñas, la primera contraseña probablemente tardaría mucho más en descifrarla. Esto se debe a la longitud de la contraseña: este argumento probablemente no sería válido con una contraseña corta. Es algo sobre lo que he escrito antes que yo

Considere cómo el software de descifrado de contraseñas ataca una contraseña:

Pruebe todas las palabras de un diccionario masivo de palabras, incluidas las contraseñas comunes.
Pruebe las permutaciones comunes (password1, password123, p @ assw0rd, drowssap, etc.) de cada palabra del diccionario.
Brute forza cada contraseña probando cada combinación de letras posible.

Mientras una contraseña no se encuentre en las dos primeras categorías y el software deba realizar una fuerza bruta completa, la primera contraseña es más segura porque es un carácter más largo y, sin embargo, utiliza el mismo espacio de teclas (superior, inferior, números y símbolos) como la segunda contraseña. La primera contraseña tiene 24 caracteres y, por lo tanto, tiene potencialmente 95 ^ 24 (291,989,024,338,773,000,000,000,000,000,000,000,000,000,000,000) posibles permutaciones. La segunda contraseña tiene 95 ^ 23 (3,073,568,677,250,240,000,000,000,000,000,000,000,000,000,000) permutaciones. Como puedes ver, el personaje 24 hace una gran diferencia.

En la práctica, si la contraseña fuera ... g ..................... probablemente tomaría mucho, mucho más tiempo de descifrar que los otros dos porque aunque solo usa dos letras minúsculas y un símbolo, el software de descifrado de contraseñas aún intentaría usar letras y números en mayúsculas y es dos caracteres más. Sin embargo, tenga en cuenta que si un grupo de personas comenzara a seguir el concepto de relleno, no sería difícil crear reglas de descifrado de contraseñas para intentar rellenar todas las contraseñas. Es mejor mezclar el relleno a lo largo de la contraseña, alternar varios caracteres, o simplemente agregar un par de palabras más a su contraseña.

Cuando se trata de contraseñas, la falta de entropía y la falta de conjuntos de caracteres siempre se pueden compensar aumentando la longitud de una contraseña.

Sin embargo, después de haber dicho todo esto, aún debe ser inteligente y no reutilizar la misma contraseña o incluso el mismo patrón en varios sistemas y realmente solo debería confiar en cosas como esta en los casos en que tenga que memorizar una contraseña. El uso de un administrador de contraseñas con un generador de contraseñas aleatorias sigue siendo la mejor práctica a seguir.