En medio de toda la discusión sobre la longitud de la contraseña frente a la complejidad (resumido por la famosa tira xkcd y followup dicussion ) Estoy tratando de decidirme sobre las frases de contraseña hechas con palabras de dictionnary.
Comprendo los diversos cálculos para los ataques de fuerza bruta: ¿sabría usted de un estudio razonable sobre las frases de contraseña que se realizarían a partir de palabras de dicción?
Me preguntaba sobre una política con una longitud mínima de, por ejemplo, 13 caracteres, todo en minúsculas. Espero terminar con frases como volleyballisfantastic
. Esto es 3 palabras. Si la frase está en inglés o francés, tendrían un promedio de aproximadamente 4 palabras.
Dado que una de las razones para pasar a una frase de contraseña sería irse en algunos sistemas debido a los mecanismos de regulación (bloquear la cuenta durante 10 minutos después de un inicio de sesión fallido o cambiar exponencialmente el tiempo entre las solicitudes de inicio de sesión), me pregunto si el diccionario los ataques no serían mucho más exitosos en tales frases de contraseña.
Gracias por los pensamientos o sugerencias a los estudios existentes (busqué en Google y lo que encontré son discusiones sobre la fuerza bruta pura).