En XKCD # 936: ¿Contraseña corta corta o frase de contraseña del diccionario? Jeff afirmó que el descifrado de contraseñas con "palabras del diccionario separadas por espacios", o "una oración completa con puntuación", o "sustitución numb3r leet-speak" es "altamente improbable en la práctica ".
Sin embargo, ciertamente hay reglas de John-the-Ripper que realizan sustituciones de l33t-speak y "puntuación previa / agregada o 1-4 dígitos (algunos incluso están incluidos en el conjunto predeterminado y más se discuten, por ejemplo, en enlace , que habla de descifrar ~ 50K contraseñas "corporativas" usando dichas técnicas; enlace tiene algunas de las reglas JtR específicas utilizadas), y no puedo ver ninguna razón por la que el atacante no los usaría.
Jeff usó rumkin.com en parte para justificar su afirmación de que Tr0ub4dor & 3 es en la práctica tan seguro como una frase de contraseña de 4 palabras de 2K palabras. Sin embargo, rumkin.com no parece tener en cuenta las sustituciones del habla oral en la determinación de la entropía.
Entonces, mi pregunta es: ¿Existen comprobadores de seguridad de contraseñas que tengan en cuenta la entropía limitada agregada por l33t-speak y sustituciones y concatentaciones similares?
Idealmente, la calificación se correspondería estrechamente con la cantidad de tiempo que tomaría un atacante real (usando técnicas de "tecnología de punta", no solo el forzado de caracteres por carácter) para encontrar la contraseña. Esas técnicas incluirían transformaciones, palabras clave, listas de palabras, etc.
Se prefiere el código abierto no basado en web, por razones obvias. Si bien un buen algoritmo de generación de contraseñas (por definición) es seguro incluso cuando el atacante ha visto otras contraseñas producidas por el mismo algoritmo, la idea es apuntar a los usuarios ingenuos a este verificador, y todo el punto es que es poco probable que sus contraseñas hayan sido generado a través de un algoritmo de sonido.
Puntos adicionales si aprende de las contraseñas que se le envían ... a menos que luego se introduzca automáticamente en las cuentas de PayPal de los usuarios y use el dinero para financiar Skynet ...