¿Por qué las contraseñas con caracteres especiales se consideran más seguras que las de mayor longitud? [duplicar]

5

Por ejemplo, OWASP considera 10-128 caracteres, con caracteres inferiores, superiores, dígitos y especiales. personajes (no entiendo por qué hay un límite superior). Usando las pautas mínimas de OWASP y asumiendo que hay 28 caracteres especiales, la entropía es 3e19. Pero con una contraseña de 16 caracteres con solo letras minúsculas es 4e22. Tirar en mayúsculas y es 2e27. Las computadoras pueden calcular a una velocidad bastante rápida, pero sea lo que sea, reduce la entropía, lo que significa que la diferencia no es de 22 ceros a 19, sino de 5 a 2, es decir, las diferencias son enormes.

Si la longitud es una preocupación, 12 caracteres inferiores + superiores son 3e20. Otras grandes empresas siguen obligando a las personas a usar un mínimo de 8 con caracteres especiales. ¿Por qué obligar a las personas a usar caracteres especiales (y a números de extensión) cuando otros 2 caracteres no solo son más seguros sino que son mucho más fáciles de recordar? ¿Por qué son tan anales sobre esto?

Algunas personas argumentan que las contraseñas de larga duración son malas porque las personas solo usan palabras reales, lo que limita mucho la entropía. A eso diría lo mismo con contraseñas más cortas, por lo tanto, los ataques de diccionario + regla. Forzar números y / o caracteres especiales solo genera contraseñas como [word]1! o, peor aún, Password1! . Alguien puede explicar por qué los caracteres especiales son una necesidad para las contraseñas seguras o por qué se considera así a pesar de la evidencia en su contra.

    
pregunta Geoff Lee 26.02.2017 - 06:48
fuente

3 respuestas

2

Es UX. Requerir caracteres mixtos hace que sea menos probable que un usuario use una palabra o frase común, lo que lo haría altamente susceptible a un ataque de diccionario . La entropía adicional es una ventaja; Como señala, los caracteres adicionales serían igual de efectivos.

    
respondido por el John Wu 26.02.2017 - 10:29
fuente
1

Es porque si no obligas a las personas a usar caracteres especiales, es probable que no lo hagan, al igual que en mayúsculas y números. Si fuerza alguna combinación de estos, entonces siempre aumentará la entropía, porque está aumentando el número de caracteres que podrían estar en cada carácter de su contraseña.

No importa la situación, tener un carácter especial y / o un requisito de número siempre hará que la contraseña sea más difícil de romper. p @ $$ w0rd es más difícil, marginalmente, que la contraseña.

Si la pregunta es, ¿vale la pena el esfuerzo y la molestia adicionales para sus clientes, eso es un asunto diferente?

    
respondido por el Obscure 26.02.2017 - 10:19
fuente
0

Considerando solo el escenario de un ataque de fuerza bruta que puede ser cierto. Sin embargo, cuando consideramos otras técnicas de adivinación de contraseñas, esto puede ser falso.

Cuando se permite / obliga a usar una contraseña en minúscula de una longitud aceptable (para una alta entropía), la contraseña debe ser un texto aleatorio. En un escenario del mundo real, un usuario promedio usará palabras u oraciones de un idioma, reduciendo así la entropía, ya que sabemos que la entropía es la imprevisibilidad.

Es una pregunta entre $33th1sP@ssw0rd o seethispasswordwhichislongerbutnotsecureenough .

    
respondido por el Tariq B. 26.02.2017 - 11:46
fuente

Lea otras preguntas en las etiquetas