¿Los espacios en una frase de contraseña realmente agregan más seguridad / entropía?

No (con una pequeña excepción en la parte inferior).

Las frases de paso "correcta de la batería de caballo" y "correcthorsebatterystaple" son equivalentes a nivel de entropía. Elegir colocar espacios en un lugar incorrecto o, a veces, incluir espacios y, a veces, no incluir espacios, le proporcionará algunos bits adicionales de entropía; pero no vale la pena por la dificultad extra de recordarlo. Obtendría unos pocos bits de entropía para la frase de contraseña completa para un patrón de espaciado extraño; mientras que solo agregar otra palabra agregaría aproximadamente 13 bits (asumiendo un diccionario de 7776 palabras que corresponde a 5 tiradas de un dado de seis caras; tenga en cuenta que lg (6 ⁵ ) = 12.92; siendo lg la base -2 logaritmo). (No hay desacuerdo entre mi respuesta y la de Thomas; un atacante tendría que verificar las frases de contraseña con y sin espacios a menos que tuviera información adicional sobre si tendía a usar espacios en las frases de contraseña).

Tenga cuidado con la distinción entre palabras aleatorias y oraciones significativas. ¿Una frase de contraseña "la mecánica cuántica es extraña" es una entropía mucho más baja que "calentar el dosel de Scott Fudge"? ¿Por qué? En un inglés significativo, hay patrones como ciertas palabras que se combinan con frecuencia (mecánica cuántica) o ciertos patrones deben parecer gramaticalmente correctos (sujeto, predicado, complemento del sujeto) que en principio podría ser explotado por un atacante suficientemente sofisticado ( aunque yo No tengo conocimiento de ningún algoritmo de craqueo que actualmente utiliza este ). La entropía informativa del inglés escrito gramaticalmente correcto es de aproximadamente 1 bit por carácter, por lo que la primera frase de contraseña tiene ~ 30 bits [1] , mientras que la segunda frase de contraseña tiene aproximadamente 4 × 12.9 ≅ 52 bits de entropía; por lo que tomaría alrededor de 2 ²² million4 millones de veces más para crackear.

Desconfíe de los análisis incorrectos como enlace que cometen muchos errores fundamentales de la teoría de la información. Por ejemplo, "esto es divertido" es increíblemente débil, ya que está compuesto por algunas de las palabras en inglés más comunes en una oración sintácticamente correcta que es muy común ('this' ~ 23rd más común; 'is' ~ 7th más común; 'fun' 856º palabra más común) [2] . Si probó solo tres palabras aleatorias de las 1000 palabras principales en inglés, le tomaría solo 1 segundo descifrarlo, suponiendo una GPU moderna y ha adquirido el hash (salado). Esto es aproximadamente equivalente a 5 caracteres alfanuméricos aleatorios (sin contar los símbolos especiales). Si busca en Google la frase citada "esto es divertido", aparece 228 millones de veces.

EDITAR: Excepción menor: en el caso poco frecuente de que las palabras consecutivas en su frase de contraseña formen otra palabra en su diccionario (o en el diccionario de su atacante), el hecho de no tener espacios (u otro separador) entre las palabras reduce significativamente la entropía de su frase de contraseña. Por ejemplo, si las palabras aleatorias que forman su frase de contraseña eran "librero el violador" y usted no tenía espacios, un atacante podría ingresar al intentar todas las combinaciones de solo dos palabras "terapeuta de estantería".

Los espacios en una frase de contraseña agregan la entropía exactamente en la medida en que no se pudieron haber agregado. Un punto importante es que un atacante no puede probar una coincidencia parcial en una contraseña; Al contrario de lo que las películas de Hollywood tienden a sugerir (de una manera más gráfica), no existe tal cosa como un "descifrado parcial" (donde el texto es parcialmente legible, pero borroso) o una "contraseña parcial". El atacante tiene la contraseña exacta exacta, hasta la última coma, o nada en absoluto. Este es un sistema de inicio de sesión, no un juego de Mastermind .

Por ejemplo, suponga que crea contraseñas seleccionando aleatoriamente cuatro palabras en una lista de 2048 palabras "comunes" y agregándolas (la " corregir la batería de caballo "). Suponemos que cualquier atacante sabe que está seleccionando contraseñas de esa manera (por ejemplo, ese es el "método de selección de contraseña oficial" promulgado por el administrador del sistema). ¿Cuánta entropía hay en esa contraseña? Es fácil de calcular (suponiendo que realmente está seleccionando cosas "al azar", con dados, no con su cerebro): hay 2048 * 2048 * 2048 * 2048 = 2 ⁴⁴ contraseñas posibles, todas las cuales tienen el misma probabilidad de ser seleccionado. Por lo tanto, 44 bits de entropía.

Ahora, suponga que el proceso de selección también dice: "Deberá concatenar las cuatro palabras sin ningún espacio". Hay 2 ⁴⁴ contraseñas posibles, así que 44 bits de entropía. Supongamos ahora que las reglas dicen: "Siempre debes poner un espacio entre dos palabras". Todavía hay 2 ⁴⁴ posibles contraseñas, por lo que todavía hay 44 bits de entropía. Pero suponga que las reglas dicen: "debe separar las palabras con espacios, o concatenarlas todas juntas (lanzar una moneda para decidir de una forma u otra cuando elija su contraseña)", entonces de repente hay 2 ⁴⁵ contraseñas posibles (aún con la misma probabilidad): la entropía ahora es de 45 bits.

Aún más genéricamente, si el proceso de selección de contraseña implica lanzar una moneda tres veces, para decidir, para cada espacio entre dos palabras, si debería haber un espacio o no, la entropía aumenta a 48 bits. Pero tenga en cuenta que esto no es "gratis": usted obtiene más entropía, pero también tiene que recordar más (es decir, dónde coloca los espacios).

En una nota práctica: en un teclado típico, la barra espaciadora, cuando se presiona, emite un sonido ligeramente diferente. Si su compañero de oficina tiene buen oído, puede darse cuenta si lo usa o no, y posiblemente en qué lugares. Además, sus colegas conocen perfectamente las reglas de selección de contraseña que se anuncian en su organización, ya que, por definición, está en la misma organización que usted. Por eso, aconsejaría no usar espacios como fuente de entropía. Especialmente si usa la "regla de las cuatro palabras" y , no todas las palabras de la lista tienen la misma longitud: el colega de orejas largas puede deducir la longitud de cada palabra al escuchar los espacios cuando se escriben.

La respuesta simple es sí, pero no mucho. Piense en el espacio de caracteres: si está buscando caracteres alfanuméricos, incluyendo mayúsculas y minúsculas, obtendrá 62 caracteres (a-z, A-Z, 0-9). Agregar {espacio} significa 63 caracteres para que hayas mejorado en 1/62

Contraste eso a agregar un carácter adicional que aumente tu entropía de manera exponencial.

No puede usar un ataque de diccionario, porque no puede probar cada palabra individualmente. Esta es una frase de paso. Tienes que hacerlo todo para hacerlo bien. Estoy seguro de que su diccionario puede contener "mike", pero no contiene "mike es el hombre más inteligente del mundo". Esas son dos contraseñas diferentes. La adición de espacios agrega más caracteres. Cuantos más caracteres, más combinaciones, más entropía.

Depende. Por supuesto que importa cuales sean las circunstancias en detalle.

Si el atacante no sabe que está combinando palabras y realiza un ataque de fuerza bruta en todo el espacio de posibilidades, el espacio en blanco aumenta el alfabeto.

Si el atacante sabe o asume que está usando una oración o una lista de palabras, pero no sabe, si usa un espacio en blanco o no, el número de oraciones con o sin espacios en blanco es casi el doble de grande, como solo sin espacios en blanco. bookcase book case como lo menciona el dr jimbob siendo la excepción, por supuesto.

Dos veces suenan mucho, pero si lo piensas, un atacante que realice un ataque de fuerza bruta durante 1 mes probablemente también lo hará durante 2 meses.

La cuestión del sonido es un pensamiento interesante. Tengo otro:

Si inserta su contraseña en un campo de texto de una GUI, tal vez el navegador, un espacio en blanco siempre debería funcionar. Pero si lo inserta desde un shell, en un proceso indirecto:

  foologin -u JoeDoe -p you will never guess it

podría no funcionar, porque los shells tienden a usar espacios en blanco como separadores. Necesitarías utilizar

  foologin -u JoeDoe -p "you will never guess it"

Mi idea ahora es que el error puede ayudar a un atacante, a adivinar la razón del error y, por lo tanto, a filtrar información sobre la forma en que se genera la contraseña. Puede haber una regla para usar al menos 8 caracteres, y "usted" tiene solo 3, por lo que las personas que usan oraciones sin enmascaramiento pueden ser víctimas típicas de este mensaje de error.

Por supuesto esto es muy especulativo.

El uso de espacios en blanco puede, por otro lado, ayudarlo a memorizar una frase de paso muy larga. Como usuario francés en un sitio de EE. UU., Puede usar una oración en España, insertar nombres extranjeros como Kolmogorov y errores de ortografía que recuerde fácilmente, lo que será difícil de planear para los ataques de fuerza bruta. :) Por supuesto, también puedes hacerlo sin espacios en blanco.

Agregar espacios puede o no agregar seguridad, pero agregar espacios hace que sea fácil de leer y escribir frases de paso. Por ejemplo, Lastpass puede generar OTP (contraseñas de un solo uso) si las necesita mientras viaja y usa una computadora pública. Estas contraseñas de OTP tienen este aspecto:

  

da6ed4bff36860012a563dd3560c289b

Se supone que debe imprimirlos y escribirlos cuando necesite iniciar sesión desde una computadora pública, pero estos son extremadamente difíciles de leer y escribir. En lugar de esto, su OTP debería haberse visto así:

  

eliminar borrar borrado sin vida determinar dejar de fumar causa esposa de ellos

palabras con espacios que son fáciles de leer y escribir. No hay inconvenientes para incluir espacios en las frases de paso, pero las ventajas son obvias, como en este caso de la Fiscalía.