¿Cómo generar contraseñas fáciles de escribir sin sacrificar la seguridad?

Navega tus respuestas
31

¿Cómo se puede generar una contraseña que sea fácil de escribir pero que no sacrifique la seguridad? Un ejemplo de una contraseña que es fácil de escribir pero que sacrifica la seguridad (me imagino) sería qwe123! @ #.

Para esta pregunta, usaremos una política de contraseñas bastante laxa pero estándar. Digamos:

  • 8+ caracteres
  • Al menos 1 letra mayúscula
  • Al menos un número
  • Al menos 1 símbolo

Espero que esto elimine un poco el aspecto de "usabilidad" del viejo adagio "La seguridad al costo de la usabilidad viene al costo de la seguridad". Soy consciente de que un administrador de contraseñas o algo así sería una solución más ideal, pero no todos están dispuestos a incorporar algo así.

** Después de leer todas las respuestas y comentarios aquí. Mi intención original de "fácil de escribir" era algo parecido a estar cerca uno del otro en el teclado o alternar las manos con transiciones suaves entre ellas, por lo que acepté la respuesta que hice. Dicho esto, las otras respuestas (y la aceptada) me hicieron darme cuenta de que había estado pensando en esto de manera incorrecta.

    
pregunta Pants 03.08.2017 - 21:04
fuente

7 respuestas

14

Descargo de responsabilidad: Estoy interpretando "fácil de escribir" en esta pregunta literalmente para significar caracteres consecutivos o patrones de escritura similares, que es diferente de las contraseñas que son "fáciles de recordar". Señalo esto porque ninguna de las otras respuestas parece interpretar la pregunta de esta manera.

  

¿Cómo generar contraseñas fáciles de escribir sin sacrificar la seguridad?

Respuesta corta: No te molestes .

La razón es que no vale la pena a menos que seas un mecanógrafo extremadamente lento. Acabo de intentar un experimento en el que elegí dos contraseñas, ambas fueron fáciles de recordar y una es (aparentemente) mucho más fácil de escribir que la otra. Para poder medir más fácilmente el tiempo con mi cronómetro, escribí ambas contraseñas 3 veces y las comparé:

Opción 1: (12 segundos para escribirla 3 veces) 

This password is easy to remember
This password is easy to remember
This password is easy to remember

Opción 2: (10 segundos para escribirla 3 veces) 

1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.
1234qwerasdfzxcv7890yuiohjklnm,.

En realidad lo intenté varias veces y el tiempo que se muestra arriba fue mi último conjunto de 3 para cada uno. La primera vez que cometí un error con la contraseña "fácil de escribir" porque iba demasiado rápido y presioné otras teclas.

Mi conclusión: es probable que si elige cualquier frase de contraseña que sea fácil de recordar, no sea mucho más lento de escribir que una que parece ser más "fácil de escribir". ". (Mi promedio fue de 3.3 segundos frente a 4.0 segundos). Agregue a esto la probabilidad ligeramente mayor de que una contraseña fácil de escribir pueda terminar en una lista de diccionarios, y me gustaría evitarla.

    
respondido por el TTT 04.08.2017 - 00:04
fuente
36

Obligatorio "Use un administrador de contraseñas!". Pero parece que ya estás consciente de esto. Continuando.

Hay muchos trucos. En mi experiencia, "fácil de recordar" y "fácil de escribir" normalmente significa "palabras completas en inglés"; Mis dedos / cerebro tienen un tiempo mucho más fácil con las palabras que con secuencias arbitrarias de caracteres. Dos sistemas que vienen a la mente son:

Diceware

Consiga una copia de las listas de palabras de Diceware [ Artículo ], [ large_wordlist.txt ] ¡y tira algunos dados! Esta lista de 6 5 = 7,776 palabras únicas fue cuidadosamente seleccionada para que sea fácil de recordar. Wikipedia proporciona estos ejemplos como contraseñas típicas de software de dados:

  • libra esterlina combinada de forma segura para la pelvis spinout
  • recargador de compras de arroz inmoralmente preocupante

También: XKCD obligatorio que promueve las contraseñas de este estilo.

frase de contraseña

Soy un defensor de que deberíamos deshacernos de la "contraseña" del idioma inglés, ya que alienta a las personas a pensar en términos de palabras individuales, y con la excepción de algunos bancos especialmente tontos, todos los sistemas aceptan espacios en las contraseñas ahora , entonces, ¿por qué no pensar en términos de "frases de contraseña"?

Un truco inteligente del que escuché es establecer una frase de contraseña que represente algún objetivo de vida personal que desee alcanzar o un hecho que desee recordar. A) ya que escribe su frase de contraseña varias veces al día, es un recordatorio natural para hacer la cosa, y B) una vez que lo logre, ¡tiene una razón natural para cambiar su frase de contraseña! Los siguientes serían ejemplos que, naturalmente, querrían cambiar después de aproximadamente un mes:

  • "actualizar $% en mi 401 (k)"
  • "consigue menos de 10 fumadores / día"
  • "El bebé de Sandy se debe el 24 de agosto"
  • "planea la fiesta número 80 de Grampa"

[ps. Estoy esperando la guerra de las llamas en esta sugerencia. Mi respuesta genérica: ¡use una frase de contraseña más larga!]

    
respondido por el Mike Ounsworth 03.08.2017 - 22:00
fuente
7

Las contraseñas del diccionario son el camino a seguir. Wikipedia sugiere que hacer que una estrategia sea predecible puede no ser la mejor ruta, pero en este caso lo es.

De Teoría de la información de Wikipedia / Entropy :

  

Por ejemplo, la entropía de un lanzamiento de moneda es 1 shannon, mientras que para m es m shannons. En general, necesita los bits log2 (n) para representar una variable que puede tomar uno de los valores de n si n es una potencia de 2. Si estos valores son igualmente probables, la entropía (en shannons) es igual al número de bits. La igualdad entre el número de bits y shannons se mantiene solo mientras todos   los resultados son igualmente probables

Entonces, si todo es igual de probable, es probable que ponga 'a' o '2' o '<' para un valor, entonces las opciones y la longitud son todo lo que importa. Dicho esto, hay muchas más palabras que letras + dígitos + símbolos en cualquier idioma. Suficiente para que una contraseña de 4 palabras supere fácilmente a una de 10 caracteres.

Para mostrar cuánta diferencia:

26 letras en alfabeto, 10 dígitos, tal vez 15 símbolos = ~ 50 opciones. Contraseña de 10 caracteres = 9.76 x10 ^ 16 opciones. Si nuestra computadora adivina 4 millones por segundo, una estimación aproximada y generosa, tenemos aproximadamente 775 años para adivinar la contraseña. Bastante seguro Y, podemos recordar cómodamente alrededor de 7 caracteres, 10 es factible, especialmente a través de la repetición de estilo de contraseña.

Esto es con 10 caracteres, todos con la misma probabilidad ponderada, lo cual es razonable, ya que es probable que sea un alboroto que tendremos que recordar al principio de nuestra mano.

Desde eso:

1) La longitud de la contraseña es importante en este caso. Cada personaje aumenta la seguridad considerablemente. Una contraseña más larga siempre es mejor. Si, por ejemplo, recortamos nuestra contraseña a 7 caracteres, estamos en un tiempo máximo de 2,25 días para descifrarnos con 50 opciones para cada carácter.

2) Pero di que si hago una contraseña como lo describe el cómic de XKCD, nada impide que alguien lance un diccionario a una contraseña como "recuerda a los elefantes perdidos". Diga si uso John el destripador, que tiene ~ 3000, con una opción para hacer cada plural o para cortar una s si termina con una, entonces tal vez ~ 6000 palabras. Si hay 4 palabras en mi contraseña, entonces 6000 ^ 4 posibilidades = 1.3 x10 ^ 15, 10 años

Bastante seguro. Y, John the Ripper en realidad no descifraría la contraseña:

  

Corregir correctamente la batería del caballo

John el destripador está utilizando contraseñas comunes. Tan común que solo "caballo" en realidad aparece allí. Decir si uso palabras suficientemente poco comunes que los diccionarios de crackers no anticipan, entonces la última opción es un ataque de diccionario legítimo.

Si utilizo el diccionario predeterminado de fedora, con palabras muy completas 500 000 , para una contraseña de 4 palabras, hay 6,25 x10 ^ 22 posibilidades, estamos a unos .5 mil millones de años de tiempo de craqueo . Pero no es exagerado decir que esto podría reducirse a un máximo del 25% de su tamaño, especialmente si se usan palabras comunes como "grapa de batería de caballo correcta". Así, 125 mil posibilidades. Aún así, 2.44 x10 ^ 20, que es aproximadamente 2 millones de años.

¿Qué pasaría si pudiéramos reducirlo a% 1? Así que 5000 palabras. Eso es 6.25 x10 ^ 14 posibilidades, casi el mismo número que con el ataque de John el destripador, aproximadamente 5 años como máximo. ¿Es realmente factible reducirlo al 1%? Probablemente no si no se usan las palabras más comunes.

Pero esto también depende de los delimitadores de espacios en blanco. Si tengo

azkaban_P0tter * flubber st @ ple Luego, destruimos la primera igualdad de bits en la conversación de Shannons, pero agregamos una cantidad insuperable de variables incluso si el atacante anticipa completamente esta táctica.

Además, si se pudiera usar un diccionario más pequeño de, digamos, 200 000, reducirlo a 1% es todavía un máximo de 45 días, y evitar las palabras más comunes y usar delimitadores de palabras variables aumentaría drásticamente esta duración, y lanzar una palabra o dos en otro idioma si eso es fácil.

    
respondido por el flerb 03.08.2017 - 22:59
fuente
4

Todos los días tengo que escribir mi contraseña como cientos de veces. Así que diseñé una contraseña que era "Fácil de escribir", siguiendo estas sugerencias (basadas en mi propia experiencia):

1) Mejor si no tengo que usar los dedos "meñiques" (se cansan después de un uso prolongado). Sugiero evitar cualquier carácter o símbolo en el extremo izquierdo o extremo derecho del teclado. Debido a eso, no se deben usar tantas letras mayúsculas (necesita usar su meñique para la tecla de mayúsculas, ¿verdad?).

2) Las letras mayúsculas deben poder escribirse con la mano derecha (si es diestro) o con el índice y el dedo medio de la mano izquierda. La razón es que es fácil (para mí) usar el desplazamiento a la izquierda que a la derecha (porque está más lejos del centro). Intenta esto: Shift + q parece añadir presión a tu mano, en comparación con Shift (mano izquierda) + P (mano derecha).

3) Si puedes escribir tu contraseña con una sola mano es mejor. A veces tengo una de mis manos ocupada, y escribir Shift + 7 con una sola mano puede no ser tan cómodo. Yo diría que si vas a usar letras mayúsculas, intenta mantenerlas cerca de la tecla de mayúsculas.

4) Las letras adyacentes son fáciles de escribir (por ejemplo: hj en un teclado QWERTY) pero generalmente son más fáciles de cometer un error (jh en lugar de hj). Mi sugerencia aquí es tratar de no usar caracteres adyacentes en el medio o al final de la contraseña para evitar errores.

5) El flujo también es importante. Descubrí que es fácil escribir algo cuando todas las letras / números / símbolos se mueven de un lado a otro (como tocar el piano). Si comienzas en el lado izquierdo y terminas a la derecha del teclado (o viceversa). También puede ser más fácil escribir con una sola mano. Por ejemplo: 9641 vs 9164 (con la mano derecha)

6) Si alternas las manos mientras escribes es más fácil (IMHO). Por ejemplo: "jspenro" vs "jkustwp". Intenta mantener hasta 2 caracteres por mano. La mayoría de las palabras en inglés son así (las manos se alternan naturalmente).

7) No es tan importante, pero si puede escribirlo sin verlo como una ventaja. Una de mis contraseñas ni siquiera la conozco, pero puedo escribirla muy rápido (ya que no la estoy repitiendo en mi cabeza), solo dejo que mis manos lo hagan por mí: Memoria del documento

Los puntos anteriores funcionan para mí, pero es posible que no funcionen para otros. Si está buscando una contraseña fácil de escribir, pruebe mis sugerencias. De lo contrario, siga lo que ya se ha sugerido: use un Administrador de contraseñas.

    
respondido por el lepe 05.08.2017 - 10:14
fuente
3

Eche un vistazo a esta publicación. Creo que está muy relacionado con lo que ha preguntado aquí:

XKCD # 936: Contraseña compleja corta, o ¿frase de contraseña larga del diccionario?

También, esa es una pregunta muy teórica, quiero decir que cada una encuentra diferentes cosas más difíciles de escribir, supongo que "qwe123" es de hecho "fácil de escribir", pero algunos argumentarán que sus nombres / cosas que les gustan son "fáciles de escribir" contraseñas también. También puede interpretar que "fácil de escribir" a "fácil de recordar" es lo que quiere decir (?)

En mi opinión, una contraseña fácil de escribir sin sacrificar la seguridad es, ante todo, una larga, y es algo que solo usted puede pensar (y si usa los métodos que menciona dentro, aumentaría la seguridad de la contraseña). por supuesto).

    
respondido por el MercyDude 03.08.2017 - 21:19
fuente
0

Estaba pensando lo mismo en mi mente y se me ocurrió asdff3F# , asdffF3# , asdff9F( , asdffF9( , etc.

Consideré lo siguiente:

  1. Colocamos los dedos de la mano izquierda en asdf, usar los mismos caracteres para alfabetos nos ayudará a no desplazar la mano izquierda.
  2. Usar el meñique derecho para hacer clic en Mayús.
  3. El desplazamiento es mínimo si movemos el dedo medio de cualquiera de las manos (puedo alcanzar 3 con el dedo medio izquierdo y 9 en el dedo medio derecho).
respondido por el Karanam Bharadwaj Sharma 26.12.2018 - 10:48
fuente
-1

Una opción fácil sería concatenar palabras como en: hellohereiam0x45 Obtuvimos una contraseña de 16 letras de longitud. Los cuales serán resistentes contra el simple bruto forzado. Incluso puedes fortalecerlo como: 

HelloHereIAm0x45

Simplemente capitalicé cada palabra para ganar fuerza adicional, sin pérdida de memorización. Además, podría abstraerlo aún más como cambiar O por 0, etc. 

H3ll0H3r31Am0x45
    
respondido por el 0x45 04.08.2017 - 16:36
fuente

Lea otras preguntas en las etiquetas

¿Cómo desobstruir código JavaScript sospechoso? [duplicar] ¿Se puede destruir un disco duro por ahogamiento?