Uso LastPass de manera integral, y para cada nuevo sitio / contraseña casi siempre tengo que generar una contraseña aleatoria con el mismo número de caracteres, permitiendo letras, números y símbolos (excepto cuando se lo impiden los formularios de contraseña que no permiten esa longitud o ciertos símbolos). Hoy, se me ocurrió que usar la misma longitud de contraseña en todas partes podría ser un problema.
Supongamos que un agente malintencionado posee un sitio en el que me he registrado y que ha mantenido la contraseña original. El solo hecho de ver la contraseña dejaría en claro que probablemente esté usando una aleatoria. Pero si ese sitio maliciosamente deseaba apuntar a otras cuentas que yo posea, y él cree que generalmente usé contraseñas de la misma longitud, podría tener una ventaja en cuanto a mi contraseña en otros sitios. Por lo tanto, ¿mi uso de una variedad de longitudes proporcionaría una seguridad apreciablemente mayor que la utilización de una sola longitud?
Es conveniente no cambiar la cantidad de caracteres que genera LastPass. Y la mayoría de los sitios tienen un límite en el número de caracteres que es más bajo de lo que me gustaría. Tampoco quiero simplemente agregar más caracteres sin motivo, porque ocasionalmente tengo que escribir una de estas contraseñas en mi teléfono móvil. El otro día, cuando un sitio dijo que el límite de longitud de la contraseña era 60, intrigado, creé una contraseña aleatoria de 60 caracteres. Pero más tarde, tuve que escribir esta contraseña en mi teléfono y, aunque lo hice correctamente en el primer intento, fue Un proceso largo y doloroso.
Se me ocurre que solo agregar un número de caracteres a mi longitud típica probablemente proporcionará toda la entropía extra necesaria para eliminar cualquier debilidad de un atacante sabiendo que uso la misma longitud en cualquier lugar. Pero me gustaría que algunas personas bien informadas comenten esto.
¿Cuántos dígitos adicionales debo usar para que mis contraseñas sean tan seguras como usar un número variable de caracteres? Por ejemplo, si utilizara 15 caracteres todo el tiempo, ¿cuántos más tendré que agregar para tener la misma entropía que si usara de manera aleatoria 10-15 caracteres? Sin embargo, la seguridad de 10 caracteres se siente demasiado baja en primer lugar, y siempre usar 15 parece más seguro. Así que estoy en conflicto.
¿Cuál es una manera razonable de ver esto? Debería:
- Use diferentes longitudes en diferentes sitios
- Aumentar mis caracteres (no uso 15, pero algún otro número)
- ¿O simplemente no se preocupe por eso mientras mi longitud sea suficiente (y qué longitud diría que es suficiente para ser teóricamente indiscutible * para los próximos 20 años)?
Para lo que vale el juego de caracteres completo que utiliza LastPass es de 70 caracteres: A-Za-z0-9!#^&$@*%
.
Re: irreconocible : Me doy cuenta de que la capacidad de craqueo de un sitio no solo depende de la contraseña en sí, sino también de las prácticas de seguridad del sitio, como los medios de almacenamiento, si mantiene la contraseña original o un hash, el algoritmo de hash particular y su número de bits, si el atacante ha obtenido acceso al hash, si el hash está salado y el atacante conoce la sal, si los límites de velocidad del sitio o las cuentas de bloqueos después de experimentar un comportamiento de ataque aparentemente hostil , y así sucesivamente, incluyendo la vigilancia y el conocimiento de sus empleados para resistir la ingeniería social y todo el resto de ese jazz. Esta pregunta, en cambio, es simplemente sobre el escenario donde el único vector de ataque es probar todas las contraseñas posibles y ver si el sitio lo acepta.