Propagación de contraseñas, tendencia de contraseña y generador de palabras en la mente humana

Navega tus respuestas
4

Algunas contraseñas como "123456", "admin" son escandalosamente populares, también lo son las transformaciones de leet y la concatenación de dígitos.

Los usuarios parecen captar las sugerencias de contraseñas o simplemente copian el patrón de contraseñas de otros sin pensar. Las contraseñas deben permanecer secretas, pero el hecho de que las contraseñas de diferentes usuarios en muchas bases de datos filtradas sean iguales o similares indica que las contraseñas no permanecen secretas. ¿Es solo una coincidencia que los usuarios estén utilizando la misma contraseña o las mismas reglas para transformar la contraseña?

La tendencia de la contraseña parece propagarse de los usuarios a los usuarios a medida que la información actual se propaga a través de Internet. Esta tendencia también llega al potencial atacante y, como resultado, en el caso de que la base de datos de contraseñas se filtre, el cracker tiene éxito. Las contraseñas que no están descifradas, no siguen la tendencia popular y, por lo tanto, no se ven afectadas por el cracker.

A menudo se argumenta que el humano elige contraseñas que son fáciles de recordar. Pero el hecho de que casi 300,000 usuarios de Rockyou usaron la contraseña "123456" indica que la mayoría de los usuarios simplemente imitan a otros de alguna manera para crear las contraseñas o es el caso de que la palabra generador en la mente humana está sesgada. Aprender por imitación es una característica evolutiva. Pero la creación de contraseñas necesita singularidad y no imitación.

Entonces, ¿es esta la limitación de la mente humana (ya sea por imitación o por un generador de palabras sesgadas), cuando se trata de la creación de contraseñas?

Para evitar la influencia de la propagación de la contraseña, ¿podemos dar sugerencias únicas a cada usuario para la creación de la contraseña? Las reglas de composición se aplican a cada usuario de ese sitio web, ¿puede modificarse para cada usuario?

    
pregunta Curious 17.12.2014 - 05:54
fuente

3 respuestas

3

Creo que estás malinterpretando a los usuarios. Las personas no pueden entenderse como código (es decir, un "generador de palabras sesgadas"). Las personas tienen diferentes motivaciones y entendimientos del mundo que tú o yo.

A algunos realmente no les importa si son hackeados. Algunos no entienden que los ataques automáticos son relativamente triviales. Algunos piensan que "¿por qué alguien me atacaría?". No entienden que la automatización no se preocupa por ellos personalmente.

RockYou es un "sitio web de juegos de redes sociales" gratuito. ¿Es realmente un sitio que a muchos usuarios les importa la seguridad? No lo haría, y probablemente usaría una contraseña fácil de recordar que no me importa. Tampoco me importó mi contraseña de NY Times cuando me solicitaron su registro. Creo que fue una "contraseña" (¡adelante, hax0rz, hackea mi cuenta de NYT!).

    
respondido por el Steve Sether 15.06.2015 - 23:45
fuente
2

Uso una contraseña insegura para las cuentas desechables que tienen un valor 0 para ellas. En general, algunos sitios tienen un bajo estándar de seguridad y el uso de una contraseña como 123456 proporciona a los piratas informáticos de esos sitios menos información a sus contraseñas reales.

El otro problema es que los sitios tienen restricciones arbitrarias en las contraseñas. Cuando las contraseñas tendrían una longitud máxima ilimitada, las contraseñas únicas serían mucho más fáciles de generar. Muchos sitios limitan la longitud de la contraseña del usuario a 4-5 (pin como inicios de sesión con 3 intentos), 8, 12 o 16.

Eso significa que las contraseñas que son fáciles de recordar deben ser de 1 a 3 palabras que encajen entre 12 y 16 caracteres. Esto limita la piscina severamente. El hecho de que cada sitio tenga restricciones arbitrarias también significa que una vez que tenga una buena contraseña que se ajuste a la mayoría de los esquemas, es más probable que la reutilice, ya que recordar 17 nombres de cuentas diferentes, con contraseñas diferentes que tienen restricciones diferentes, es casi imposible.

Si quieres que los usuarios generen contraseñas únicas, dales un mínimo de 10 caracteres y una longitud máxima ilimitada / alta.

Este xkcd lo resume bastante bien :

    
respondido por el HopefullyHelpful 15.08.2015 - 23:52
fuente
1

La mayoría de las personas no tiene idea de lo que puede hacer un atacante para intentar adivinar sus contraseñas. La mayoría de los usuarios comunes de Internet piensan que algo así como "nombre.de.el.favorito.singer + fecha.de .birth.reversed "es de alguna manera seguro porque, en su opinión, un humano no puede adivinar algo como el nombre de su cantante favorito + la fecha de nacimiento REVERSADA. Tal vez piensen que están seguros hasta que descubrieron la velocidad y la simplicidad de un diccionario en línea ataque. Pero tengo que decir que no es solo la falta de cultura de internet el problema. Muchas personas que conocen herramientas como pwgen para generar una contraseña, en realidad no las usan porque las contraseñas que no son "humanas" son muy difíciles de recordar sin un esfuerzo considerable. Muy pocas personas están dispuestas a hacer ese esfuerzo por algo como una contraseña. La comodidad siempre gana cuando se trata de la mente humana.

    
respondido por el Azazel 15.06.2015 - 22:10
fuente

Lea otras preguntas en las etiquetas

¿Existe algún riesgo / beneficio de seguridad al agregar un relleno adicional (más allá de lo que se requiere) cuando se usa AES-256 para cifrar cadenas muy cortas? Cifrar / descifrar nuestra clave de licencia