¿Hay más cosas que considerar que solo el espacio de teclas al determinar la fortaleza de una contraseña?

Determinar si una contraseña en particular es "fuerte" es un ejercicio impreciso. Una pregunta un poco mejor es si es fuerte contra un tipo particular de ataque. Esto proporciona un marco desde el cual puede comenzar a evaluar cuántas conjeturas o cuánto tiempo se tarda en tratar de hacer coincidir las conjeturas con su contraseña particular. Pero esto también lo obliga a hacer algunas suposiciones sobre qué ataques y enfoques se intentarán, y es posible que no coincidan con lo que sucedería en el mundo real.

Por lo tanto, observando sus dos contraseñas generadas de forma aleatoria, podemos decir que el ataque obvio es probar todas las combinaciones aleatorias posibles con sus respectivos grupos de caracteres. Sabemos que si probamos todas las combinaciones, encontraremos una coincidencia en algún momento durante esa búsqueda. También podríamos evaluar cómo exactamente el software de adivinanzas itera a través de cadenas aleatorias y estimar en qué lugar del proceso de fuerza bruta general es probable que esas contraseñas sean descifradas.

Solo para hacer números, digamos que su primera contraseña coincidirá con el 4% de la fuerza bruta de su espacio clave respectivo, y la segunda contraseña se corresponderá con el 39% de la clave respectiva. Puedes tomar esos resultados y decir con precisión que la segunda contraseña es más fuerte contra este tipo específico de ataque de fuerza bruta.

Pero esto no podría decirle que cualquiera de los grupos de caracteres fue mejor o peor al generar contraseñas seguras. Se limita a comparar esas dos contraseñas específicas. En promedio, ambas agrupaciones producirían contraseñas aleatorias de aproximadamente la misma fuerza, ya que tienen un espacio clave similar.

También podríamos ver la viabilidad computacional de un atacante agotando todas las posibilidades con una fuerza bruta en cualquiera de los espacios de teclas y decir que hoy no es probable. Con un billón de adivinanzas de contraseña por segundo, llevaría más de 600 días buscar exhaustivamente cualquiera de los espacios de teclas. Si no es probable que ninguno de ellos esté resquebrajado, podría argumentar que son igualmente fuertes, o al menos ambos lo suficientemente fuertes, desde un punto de vista práctico.

Otro ataque podría ser adivinar palabras del diccionario. Parece seguro decir que ninguna de estas contraseñas debería aparecer en un diccionario. En este caso, también son fuertes, ya que ninguno tiene la posibilidad de ser adivinado.

Sin embargo, si retrocedemos para evaluar la probabilidad de que sus respectivos espacios de claves coincidan con las palabras del diccionario, podríamos ver un resultado diferente. El primer espacio de la clave de su contraseña se compone de aproximadamente un 0.27% de cadenas, todas en minúsculas, en mayúsculas o en una mezcla de casos alfabéticos. En comparación, el espacio de la segunda contraseña es alrededor del 14.45% de esas mismas cadenas que podrían ser palabras de diccionario.

Ahora que ciertamente no significa que todas estas cadenas alfabéticas son palabras (o combinaciones de palabras). Un porcentaje muy, muy pequeño de esas cadenas coincidiría con cualquier lista de palabras dada. Pero podría argumentar que una mayor posibilidad de una contraseña generada aleatoriamente desde el segundo grupo que contiene solo letras significa que este grupo tiene una mayor probabilidad de generar contraseñas que coincidan con palabras. Le insto a que realmente mida este efecto con listas de palabras antes de proclamar que esto es cierto, pero algunas personas pueden ver esto y decir que la primera agrupación genera contraseñas más seguras.

Entonces, mi conclusión sería que hay diferentes maneras de medir la fortaleza de estas contraseñas (y solo discutí algunas). Dependiendo de qué enfoque o enfoques tomaste, puedes obtener diferentes resultados.

Sí, hay razones para usar una contraseña más aleatoria.

Considera que el atacante en su mayoría no hace fuerza bruta al azar. Es mucho más probable que una contraseña que consta de [a-zA-Z] esté en una lista de contraseñas ensamblada por computadora, ya que la mayoría de las personas aún no usan caracteres especiales en sus contraseñas.

Y si usan !"§$%&/()=?\}][{¬½₹³²¹@ , la mayoría de los usuarios seguirán usando mucho más [a-zA-Z] en sus contraseñas.

una contraseña distribuida de manera uniforme y aleatoria sería la más segura, aunque los humanos no las hacen normalmente. Hay muchas listas de contraseñas utilizadas para crear más variaciones de contraseñas, creo que probablemente debería agregar otro !"§$%&/()=?\}][{¬½₹³²¹@ char a su contraseña aleatoria ;)

Keyspace es especialmente relevante para ataques de fuerza bruta.

Sin embargo, los ataques con contraseña a menudo no son fuerza bruta: este es el último recurso. Así que con eso en mente, la pregunta es: ¿cuál es la probabilidad de que una contraseña esté en una tabla de arco iris frente a la otra?

Los 10-12 caracteres especiales típicos están potencialmente en una tabla de arco iris, pero 32 es mucho menos probable.

Entonces, en mi humilde opinión, basado en esta suposición de la vida real, el carácter más corto pero más seguro es más "seguro" en el sentido de que es más probable que obligue al cracker a utilizar la fuerza bruta, lo cual consume mucho tiempo. p>

Luego agregaría, todo depende de su cifrado: obviamente, si almacena la contraseña de forma clara, ninguna de las dos es buena. Asumo un cifrado confiable e igual para ambas contraseñas.