El R2B2 puede adivinar un pin de 4 dígitos (10,000 combinaciones) en aproximadamente 20 horas, sin tomar teniendo en cuenta la demora para ingresar una frase después de cada 4 intentos fallidos. Cuando se utiliza un pin de 6 dígitos (1,000,000 combinaciones) esto aumentará con un factor de +/- 100, lo que hace que sea aproximadamente 2000 horas (aproximadamente 83 días). Un pin de 8 dígitos (100,000,000 combinaciones) nuevamente elevaría esto aún más alto.
La pregunta es, cuando se usa un pin de 6 u 8 dígitos (el de 4 dígitos es muy bajo), ¿por qué no usar una contraseña? ¿Cuál es el valor agregado de un pin cuando también podría usar una contraseña numérica de 6 u 8 dígitos, además de que el intruso sepa que solo tiene que probar valores numéricos?
En primer lugar, Microsoft Windows le permite ahora usar PIN de cualquier longitud. En segundo lugar:
Microsoft ha adoptado un nuevo enfoque para frustrar los ataques de fuerza bruta con una frase de desafío. Esencialmente cuando se ingresa un PIN incorrectamente cuatro veces seguidas, los usuarios se envían a una pantalla diferente donde se requieren para ingresar una frase específica. Este "desafío" frase ’ralentiza la entrada de fuerza bruta potencialmente maliciosa y no congelar el dispositivo. Si bien es similar a un método de captcha, el desafío La frase también evita que las máquinas automatizadas ingresen PIN populares una y otra vez.
La lógica de Windows detrás de usar un PIN es más fácil de recordar un PIN (números), por lo que no tendrá que escribirlo.
Si bien esto es correcto, no lo hace más seguro.
Al igual que con las contraseñas (contraseña, qwerty), el usuario promedio se vuelve perezoso. Mi conjetura es que la mayoría de las personas usarán números PIN de 4 dígitos y algo familiar. DOB, pin de tarjeta bancaria, DOB familiar o patrones simples, 1234, 0000, 8008, 2580.
Windows ha implementado alguna protección de fuerza bruta, que ayuda a prevenir o al menos ralentizar los intentos de fuerza bruta automatizados.
Sin embargo, con mi suposición anterior, hará que los ataques de fuerza bruta manuales por parte de miembros de la familia o usuarios no técnicos con algo de información sobre el usuario sea mucho más fácil.
Y para responder al título, un número aleatorio de dígitos que es fácil de recordar en tu cabeza, pero también no es 4.
La razón por la que digo no 4 es que es el número predeterminado que la gente piensa con los números PIN, y la razón por la que digo que un número aleatorio es para un poco más de oscuridad.
por ejemplo: si le dijeras a alguien que tu contraseña tiene 20 caracteres de longitud, intentarán utilizar la fuerza bruta de 20 caracteres. Si no lo hicieras, tendrían que intentar 1-20.
Obviamente, cuantos más dígitos uses, más difícil será adivinar / forzar, pero también está el debate sobre la usabilidad frente a la seguridad.
Lea otras preguntas en las etiquetas windows-10