En la calculadora de fuerza de contraseña, ¿hay un algoritmo para determinar el patrón del teclado? podría haber miles, si no millones, de patrones que podrían generarse con un teclado qwerty estándar. ¿Cómo puede una calculadora de fuerza de contraseña encontrar la fuerza de la contraseña en el patrón del teclado?
Hay muchos algoritmos y bibliotecas para implementar esto. Cada uno tiene sus fortalezas y debilidades. zxcvbn es uno de los más referenciados. Está razonablemente bien documentado y es de código abierto. Los mejores utilizan una combinación de algoritmos y diccionarios de contraseñas comunes.
En general, un buen diccionario de contraseñas se ocupa de este tipo de cosas en un ataque de diccionario .
Incluso un diccionario de grietas simple debería tener contraseñas comunes como 1qaz2wsx y "palabras" como asdf y zxcv . Los programas de craqueo como John the Ripper hacen este tipo de cosas. Su autor incluso vende su lista de palabras para descifrar contraseñas .
Incluso un diccionario que carece de una contraseña como asdfghjkl; pero que contiene palabras como asdf y jkl vería una entropía reducida cuando componen asdf + gh + jkl + ; (la entropía La palabra + letra + letra + palabra + especial es de aproximadamente 48 bits, que se puede descifrar en unas pocas horas si se almacena como un MD5, en comparación con los 52 bits de una contraseña imprimible al azar de 8 caracteres. Aprende más acerca de la calibración de entropía ). De manera más realista, la entropía de esa contraseña de diez caracteres es mucho más baja, ya que debe asumir que un diccionario de grietas tiene asdfghjkl (la entropía se convierte en ~ 20, agrietada en milisegundos) si no en toda la cadena.
Lo mismo se aplicará a la mayoría de los patrones de teclado, mientras que el resto contendrá "palabras" más pequeñas que de hecho se reconocerán, siempre reduciendo la entropía a algo que se agrietaría en segundos a un atacante veterano.
Lo siguiente es verdadero si los caracteres se seleccionan al azar.
El teclado Qwerty estándar de EE. UU. tiene 96 caracteres únicos. Esto significa que cada personaje seleccionado al azar agrega aproximadamente 6,6 bits de entropía. Si tiene una contraseña de ocho caracteres, la entropía sería 8 * 6.6 = 53 bits
Si solo está utilizando caracteres alfanuméricos (62 caracteres, sin caracteres especiales), cada carácter seleccionado al azar agrega 6 bits de entropía. En ese caso, la contraseña de 8 caracteres tendría 8 * 6 = 48 bits de entropía. Eso es más que suficiente para la cuenta en línea donde se detecta la fuerza bruta.
Para una cuenta fuera de línea, 12 caracteres (72 bits) serían suficientes. Incluso el gobierno de los EE. UU. Tendrá que dedicar un esfuerzo informático serio (millones de dólares) a la fuerza bruta de 72 bits, especialmente porque las contraseñas suelen estar bloqueadas con algo como bcrypt o PBKDF2, lo que hace que la fuerza bruta sea cara.
Una vez más, todo esto es cierto si los personajes se seleccionan al azar (mediante software o tarjetas barajadas o algo así) Si los humanos están escogiendo a los personajes, entonces la entropía sería menor.
Lea otras preguntas en las etiquetas passwords password-policy