Encontré una página web donde los usuarios pueden registrarse. Sin embargo, parece que la longitud de la contraseña debe ser de 6 a 12 caracteres.
¿Es eso un riesgo de seguridad?
Sí. Las contraseñas son por naturaleza muy susceptibles de ser mal manejadas, y la mayoría de las decisiones tomadas sobre su administración son arbitrarias o tienen más fundamentos en la función que en la seguridad. En particular, cualquier medida que recorte el espacio de contraseña posible es particularmente mala.
Un ejemplo es el PIN de cajero automático. Tienen solo 4 dígitos (en la mayoría de los casos, al menos), por lo que la mayor parte de su fuerza se basa en el hecho de que los reintentos son limitados. Entonces, para un escenario normal, tiene 3 intentos para adivinar un valor entre 10000. Eso significa una probabilidad de éxito de 1/3333. Los seres humanos son terribles en la aleatoriedad y, como resultado, algunos PINS son más probables que otros: 1111, 1234, etc. Como resultado, algunos bancos introducen reglas: no números repetidos (ahora tiene solo 5040 PIN posibles), no secuencias matemáticas (1234, 2468 ... ¿cuántos de ellos puede crear?), No patrones de teclado (PIN en forma de L, una línea recta, etc.). Después de poner en la lista negra tantas opciones, el atacante ahora tiene un espacio de búsqueda mucho más pequeño para adivinar, y las probabilidades son más favorables para ellas.
Para un entorno más abierto (mayores capacidades para el atacante), hay límites más bajos que tienen sentido, ya que un ataque de diccionario es casi trivial para las contraseñas cortas. Algunos dirían 8, algunos dirían 10, pero nadie diría que 6 es razonable. Si las contraseñas están encriptadas (y tienen sal), llega un punto en el que las contraseñas más largas no aumentan la seguridad, pero tiene poco sentido ponerles un límite.
Sí , es un riesgo de seguridad.
La longitud de su contraseña afecta en gran medida la seguridad de sus cuentas.
Suponiendo que un sitio web solo permita letras minúsculas [a-z] y limita su contraseña a 1-4 caracteres.
Solo tomará 26 ^ 4 (456,976) permutaciones diferentes. Por lo tanto, solo tomará un máximo de 456,976 intentos diferentes para determinar su contraseña.
Si incrementas su longitud a 12 caracteres, habrá un máximo de 26 ^ 12 (9.54 x 10 ^ 16) diferentes permutaciones.
En pocas palabras, la longitud de su contraseña es definitivamente un factor en la seguridad de su cuenta. Cuanto más larga sea su contraseña, mayor será la seguridad.
Si no tiene más remedio que resolver con una longitud limitada para su contraseña ...
Estas son algunas formas de hacer que su cuenta sea mucho más segura que la fuerza bruta
Además de ver la entropía de una contraseña corta como lo hacen las otras respuestas, debe considerar por qué el sitio tiene una longitud de contraseña restringida. No existe una razón técnica válida para que un sitio web moderno (o casi cualquier otro sistema de autenticación) tenga una longitud máxima de contraseña (al menos, ninguna persona que un humano supere por accidente). Las contraseñas nunca deben almacenarse en ningún lugar, excepto en la memoria RAM; deben ejecutarse a través de una función de derivación de claves (las más populares se llaman scrypt , bcrypt y PBKDF2 , en orden descendente de dificultad para crack) y la clave resultante debe almacenarse en la base de datos junto con la sal y otras entradas KDF (aparte de la contraseña, obviamente) necesarias para obtener dicha clave. A los KDF no les importa cuánto tiempo es su contraseña; En cualquier caso, producirán una clave de longitud constante.
Si un sitio está aplicando una longitud máxima de contraseña, es muy probable que no se estén ejecutando contraseñas a través de un KDF (o incluso una función hash simple, que es demasiado fácil de forzar pero que aún admite contraseñas de longitud arbitraria). Eso significa que están almacenando la contraseña en texto sin formato o con cifrado reversible. La primera opción es REALMENTE MALO , y la segunda no es mucho mejor. Las bases de datos de las personas se filtran con bastante frecuencia, y cuando eso sucede, el atacante puede usar directamente las contraseñas de texto sin formato, o probablemente puede descifrar las contraseñas (es posible que deba extraer un archivo del sistema de archivos del servidor web, pero si puede obtener la base de datos a menudo también puede obtener archivos y la clave debe almacenarse en algún lugar ). De cualquier manera, el atacante ahora puede iniciar sesión como cualquier usuario en ese sitio, y también puede intentar iniciar sesión con las mismas credenciales en otros sitios porque muchas personas cometen el terrible error de reutilizar las contraseñas.
Entonces, sí, deberías sospechar de cualquier sitio que imponga una longitud máxima de contraseña.
Tenga en cuenta todo el entorno de seguridad. Por ejemplo, los cajeros automáticos generalmente son monitoreados por cámara. En esa configuración, el uso de un pin de 4 dígitos puede ser aceptable, ya que los intentos de fraude quedarán atrapados en la cámara.
Si un sitio web excluye a cualquier usuario que cometa dos errores de contraseña, quizás una contraseña corta sea aceptable. Sin embargo, si el sitio web permite errores de contraseña ilimitados y utiliza contraseñas muy cortas, esto es ciertamente un agujero de seguridad. Las razones para esto se enumeran en las otras respuestas, es decir, un ataque de fuerza bruta puede tener éxito debido al pequeño número de contraseñas posibles.