¿Por qué está mal cifrado con contraseñas simples como clave de cifrado?

4

Tengo entendido que el uso de contraseñas "normales", como una oración fácil de recordar, es una mala práctica. ¿Es porque una cadena de este tipo no será lo suficientemente aleatoria, o algo más?

De < documentación de OpenSSL de Ruby

  

Hay muchas formas de crear claves inseguras, la más notable es simplemente tomar una contraseña como la clave sin seguir procesando la contraseña.

    
pregunta user50849 08.03.2014 - 22:18
fuente

1 respuesta

2

Se debe hacer una distinción entre la contraseña que proporciona una herramienta de cifrado y la clave interna que realmente usa.

No hay nada intrínsecamente incorrecto en el uso de una contraseña de texto sin formato, siempre que sea lo suficientemente largo como para que no se pueda adivinar dentro de un período de tiempo electrónico razonable . El nivel de indiscutibilidad generalmente se considera el nivel de entropía en el conjunto de datos; aunque incluso las pruebas estadísticas muy sofisticadas solo pueden hacer conjeturas informadas acerca de la indecisión real (por ejemplo, una cadena verdaderamente aleatoria es totalmente adivinable si todos en el mundo lo han memorizado).

La mayoría de los algoritmos de cifrado requieren una cantidad fija de entropía interna para funcionar. Su contraseña contendrá una cierta cantidad de entropía, generalmente menos que los usos de cifrado. Por lo tanto, su contraseña generalmente se convierte en sus bits entrópicos puros que luego se "estiran" a través del espacio de clave interna de una manera apropiada para el cifrado.

El estiramiento (o reducción) también es necesario para asegurar que similitud semántica a través de, digamos, las contraseñas en lenguaje natural, no No deformar el rango posible de salida de texto cifrado. No desea que las contraseñas de los lenguajes naturales (es decir, la mayoría de las contraseñas) produzcan solo texto cifrado de fracción predecible de todas las salidas posibles; como podría inferir el tipo e incluso la longitud de la contraseña utilizada.

Como usuario final de cualquier herramienta de cifrado competente, no debe preocuparse por esto, ya que ocurre detrás de la escena. Pero deberá saber si está usando estas bibliotecas directamente.

    
respondido por el LateralFractal 09.03.2014 - 02:17
fuente

Lea otras preguntas en las etiquetas