¿Cómo atacaría alguien un secreto no verdaderamente aleatorio producido por un humano?

5

Especialmente en las criptomonedas, a menudo se oye a la gente decir que las claves / semillas privadas no deben ser escritas "al azar" por los humanos, sino que utilizan un generador de números verdaderamente aleatorios. Entiendo que los humanos se comportan de cierta manera, por lo que debe haber patrones que reduzcan significativamente el espacio de búsqueda de un ataque de fuerza bruta.

Esa es la teoría. Pero en la práctica, ¿cómo podría alguien modelar semejante ataque? Sé que hay sesgos cognitivos investigados en la percepción y la producción de aleatoriedad, pero ¿hay modelos, cómo se modelaría un espacio de búsqueda de un humano "al azar" al tocar un teclado?

    
pregunta A1m 12.01.2018 - 05:42
fuente

1 respuesta

1

Una respuesta simple es que un ser humano tenderá a presionar más las teclas en el medio y / o en la 'fila de inicio' del teclado y tenderá a presionar las teclas juntas entre sí con mayor frecuencia (debido a los golpes dobles). También puede haber más caracteres especiales "no desplazados" y caracteres de fila de números. Es más probable que los números y los caracteres especiales puedan estar agrupados (o simplemente agregados a) las cadenas "aleatorias" principales.

Por lo tanto, obtendrá una mayor frecuencia de asdfghjkltyuivbnm , secuencias como sw qd l; , etc. y más en el formato de [email protected]~{&$

Se pueden evitar conscientemente, pero esto podría deberse a su propio patrón o tener una combinación de demasiado incluso (casi el mismo número de cada tipo) .: dR%6Ni9)lI&6 ...

Esto podría debilitar un poco las cosas y brindar cierta ayuda al atacante, pero para una cadena larga es poco probable que sea significativo. También requeriría que el atacante supiera que fue generado por humanos para un ataque de fuerza bruta modificado

Ninguna de mis sugerencias sobre la frecuencia es completa y un poco de esfuerzo puede producir una cadena muy aleatoria.

Personalmente, a menudo utilizo un generador de contraseñas y luego cambio un par de elementos o para eliminar cualquier enlace a la semilla pseudo-aleatoria (realmente un poco paranoico).

    
respondido por el Nate 12.01.2018 - 13:44
fuente

Lea otras preguntas en las etiquetas