¿El uso de caracteres específicos del idioma hace que la contraseña sea más segura?

4

Así que comencemos de ejemplo. Vivo en Inglaterra, y tengo un teclado polaco. Puedo usar letras específicas polacas como ąćęłńóśżź , también se podría usar alemán ßäë etc.

¿Usar esas letras haría que la contraseña sea más segura?

Creo que definitivamente disminuiría la posibilidad de que una persona aleatoria adivine mi contraseña, ya que es posible que no puedan ingresar el carácter requerido.

También creo que esto haría que la contraseña sea más segura, ya que, por lo general, incluso si la base de datos es robada, los programas de fuerza bruta usualmente pasan por az estándar, 0-9 y caracteres especiales como !@#$%^&*()_+=- , etc. utilizado para encontrar la contraseña.

    
pregunta vakus 13.08.2016 - 00:58
fuente

2 respuestas

5

El uso de caracteres específicos para el idioma hace que la contraseña sea más segura, pero no exactamente por la razón que mencionaste. Si cuenta con que el atacante no incluya los caracteres específicos de su idioma en su diccionario, entonces su contraseña solo estará segura hasta que sepan que está utilizando un alfabeto no inglés. Y de acuerdo con el principio de Kerckhoffs , debe suponer que ya lo saben.

Sin embargo, si usa sus caracteres específicos junto con el del alfabeto inglés, su contraseña se volverá más fuerte y simple porque cada carácter de su contraseña tendrá más entropía. Digamos que estamos usando una contraseña de solo minúsculas generada de forma aleatoria (en la práctica, debe combinar tanto mayúsculas como minúsculas y caracteres especiales, pero el básico sigue siendo el mismo). Tome su alfabeto polaco, por ejemplo, si combina el alfabeto polaco e inglés, tendrá 35 caracteres distintos, mientras que el alfabeto inglés solo tiene 26. Eso significa que cada carácter en nuestra contraseña polaco + inglés tendrá aproximadamente 5.13 (log2 (35)) bit de entropía, mientras que un carácter en la contraseña en inglés solo tendrá alrededor de 4.7 (log2 (26)) bit de entropía.

Ahora digamos que nuestra contraseña tiene 15 caracteres, en el primer caso tenemos 15 x 5.13 = 76.95 bits de entropía, mientras que en el segundo caso solo tenemos 15 * 4.7 = 70.5 bits de entropía. Si continúa mezclando más y más alfabetos diferentes, entonces cada carácter en su contraseña tendrá más y más entropía, y su contraseña se volverá más fuerte dada la misma longitud. Sin embargo, corre el riesgo de no poder iniciar sesión desde otros dispositivos porque no tienen instalado el teclado de su idioma, eso es algo que debe tener en cuenta.

    
respondido por el tsukumogami 13.08.2016 - 01:43
fuente
3

No de ninguna manera confiable. En teoría, un conjunto de caracteres más grande aumenta el espacio de búsqueda para el atacante, pero eso solo le ayuda de manera confiable si selecciona contraseñas al azar (literalmente al azar, por ejemplo lanzando dados ), que sospecho que no es lo que tienes en mente.

Pero en la práctica, hay varios problemas. En primer lugar, hay demasiados programadores que son incompetentes y desdeñosos en lo que respecta a las codificaciones de caracteres, y que rutinariamente escriben software que no los manejan de manera constante. Así que arriesgas todo tipo de problemas:

  1. Un sitio web puede hacer algo gracioso para los caracteres que llevan diacríticos de sus contraseñas, como reemplazarlos con ? o simplemente eliminarlos. Esto es terrible , porque su contraseña en ese caso no tiene la fuerza que esperaba y ni siquiera sería capaz de decir .
  2. Supongamos entonces que tal sitio web actualiza su software para corregir el error. ¡Vaya, ahora ya no reconoce tu contraseña!
  3. O los desarrolladores, sin pensarlo mucho, podrían decidir implementar una verificación de "contraseña permitida" en el front-end que prohíba los caracteres no ASCII.

En segundo lugar, la forma en que te estás aproximando a la pregunta puede reducirse a esto:

  • "¿Puedo ser más astuto que los crackers de contraseñas si uso este truco inteligente?"

Van a pasar mucho más tiempo estudiando cómo ser más astutos que los usuarios que lo que vas a pasar estudiando cómo ser más astuto que ellos. Solo leerán todo lo que puedan encontrar en Internet sobre cómo las personas eligen sus contraseñas (¡incluida esta pregunta!) Y aprenderán de ellas para mejorar sus ataques de contraseñas. Recuerde, no solo intentan descifrar su contraseña adivinándola individualmente: programan computadoras realmente poderosas para probar millones de contraseñas por segundo y las usan para adivinar las contraseñas de miles de usuarios a la vez.

No lo sé, pero seguro que no apostaría por ti.

La única forma confiable de vencer a los crackers de contraseñas es elegir contraseñas al azar de un conjunto muy grande. La página de Electronic Frontier Foundation sobre la creación de contraseñas seguras tiene un buen consejo. Lo más importante es utilizar un programa de administración de contraseñas para generar y almacenar una contraseña única y aleatoria para cada sitio . Eso es todo.

    
respondido por el Luis Casillas 13.08.2016 - 07:17
fuente

Lea otras preguntas en las etiquetas