¿Qué tan seguro es usar las matrículas de los automóviles como contraseña?

Es lo suficientemente seguro, siempre y cuando uses placas de matrícula generadas al azar, no placas de matrícula que sean importantes para ti, pero crea un trabajo adicional para ti que es completamente innecesario. La debilidad de las contraseñas es la reutilización y el almacenamiento, no la generación.

Mejores prácticas:

1. Suponga que su adversario sabe cómo generó su contraseña.

2. Use un administrador de contraseñas para evitar la reutilización de contraseñas.

3. Elija una contraseña que tenga un tiempo de fuerza bruta superior al doble del período de restablecimiento.

Así que veamos esto en orden -

1. Te enfrentarás a adversarios que intentan usar fuerza bruta 1000 * 10000 * 1000 * 10000 combinaciones. Eso es 100 billones de combinaciones. Una GPU moderada con Hashcat puede pasar miles de millones de hashes por segundo, para algoritmos de hash más rápidos. Si un adversario conoce su algoritmo, será agrietado en una fracción de segundo. Puedo discutir por qué debes asumir que un atacante conoce tu algoritmo, pero se reduce a "No sabes que no conocen tu algoritmo". Tenga en cuenta que existe una gran diferencia entre "una contraseña generada de forma aleatoria que parece un número de matrícula" y "una contraseña generada a partir de una recopilación aleatoria de sus matrículas de propiedad anterior"

2. Si alguna vez reutiliza una contraseña, confía en que cada proveedor no capture su contraseña en texto sin formato y la use para comprometer sus otras cuentas. Usted también confía en que nunca serán violados. Usted confía en que si se rompen, se darán cuenta. Estás confiando en que si se dan cuenta, te lo dirán. Confía en que recordará todos los lugares donde reutilizó esa contraseña y los cambiará a todos. Eso es mucha confianza, tal vez no te interesen algunos sitios web (personalmente reutilizo una contraseña débil pero memorable para cuentas que realmente no me importan), foros de Subaru, nexusmods, etc.) pero para bancos, correo electrónico y En otros servicios, seguramente no querrá que nada se vea comprometido por malicia o negligencia. Por lo tanto, usarás diferentes contraseñas por servicio.

3. Ahora, deberás verificar que tu contraseña sea lo suficientemente fuerte como para durar el doble del tiempo de restablecimiento de la contraseña: si nunca restablecerás una contraseña, asumirá que vivirá hasta los 100 y listo por más de 2 siglos. Su esquema de contraseña pasa esto siempre que las "matrículas" que elija se generen de forma aleatoria. Si no lo son ... no durarán mucho si alguien quiere ingresar a su cuenta.

Entonces, ahora tenemos contraseñas seguras y largas que no se comparten entre los sitios. Si usted es como yo, tiene al menos 10 cuentas en línea importantes diferentes que podrían causarle un gran dolor financiero, o al menos una gran inversión de tiempo, si está comprometido. Sé que no puedo tener 10 contraseñas directamente en mi cabeza. Terminaré simplemente recordando mi contraseña de correo electrónico y luego restableceré mi contraseña cada vez que vaya para iniciar sesión en otros servicios. No es muy conveniente, ¿eh?

Entonces, como todas las personas preocupadas por la seguridad, usaremos un administrador de contraseñas. Soy parcial a KeePass. Entonces, puse todas mis contraseñas generadas inteligentemente en KeePass, ¿verdad? Y cuando hago una nueva cuenta, genero una nueva contraseña con el generador de matrículas en línea, o me esfuerzo aún más en buscar en mi lista de matrículas de propiedad anterior y crear una contraseña a mano. Ahora estoy todo listo. Pero espera, ¿qué es esto? KeePass tiene un generador de contraseñas! ¡Solo puedo hacer clic en este pequeño botón y obtener una contraseña que sé para estar segura automágicamente! ¡¿Por qué no hago eso?

** Entonces, si bien su contraseña es segura por sí sola, debe usar un administrador de contraseñas para evitar volver a usar las contraseñas. Debido a que está utilizando un administrador de contraseñas, solo use el generador de contraseñas que está integrado. Es más fácil.

Ahora, para que la contraseña asegure su base de datos KeePass, use su esquema de generación de contraseña si lo desea. **

Las herramientas como las que mencionó anteriormente solo comprobarán algunos casos, como palabras del diccionario, inclusión de mayúsculas, minúsculas, símbolos no alfanuméricos, etc. Pero probablemente fallan en descubrir el patrón.

En su caso, tiene un patrón que, si sale en público (que por cierto) puede usarse para descifrar la contraseña. El hecho de que el símbolo más siempre aparece en el medio y las partes izquierda y derecha están formadas por placas de matrícula hace que sea mucho más fácil de romper.

  

¿Qué tan seguro es este método?

No lo es. Probablemente debería cambiar a un administrador de contraseñas, que idealmente generaría una contraseña que es prácticamente realmente difícil de descifrar, si no imposible.

Parece que estás ignorando lo que se conoce como hombro surfeando , donde no debería estar. Los "surfistas de hombro" con experiencia definitivamente romperían el patrón de tu contraseña.

Así es como lo veo. Haría estas suposiciones muy pesimistas:

1. No estás tratando con un atacante oportunista que está intentando descifrar la contraseña de nadie , sino con un atacante objetivo que está tratando de descifrar la tuya específicamente .
2. El atacante ha leído tu pregunta aquí y ha descubierto que tú, su objetivo, eres el que la hizo.
3. El atacante tiene muchos recursos y puede obtener acceso a los registros del DMV que muestran todos los autos que usted, su familia y sus asociados.
4. El número de autos que todos ustedes han registrado es muy pequeño, como en las docenas. Usemos un número redondo y digamos 64 autos (6 bits).

Por lo tanto, el atacante solo necesita considerar 2 ^ 12 combinaciones distintas. Trivial.

Este escenario es casi exagerado, pero este es el punto: una estrategia de generación de contraseña adecuada sería mucho mejor en estas circunstancias. Como han dicho otras respuestas, use un administrador de contraseñas y deje que elija contraseñas aleatorias para usted.

Tienes una contraseña XYZ, y piensas en reemplazarla con XYZ. La placa puede tener un significado personal para usted, como su primer automóvil, el que casi lo mató en un accidente.

Hace que su contraseña sea más segura. Si hay un atacante genérico, y el atacante no prueba las placas, entonces agregar siete caracteres hace que sea mucho más difícil de descifrar. Si alguien incluye un ataque de diccionario intentando decir todas las posibles placas de matrícula del Reino Unido, eso aún agrega 27 bits a su seguridad. Solo si hay un ataque dirigido contra usted, esto agregará un esfuerzo significativo para que el atacante descubra qué placas de licencia podría haber usado, mientras que no agrega demasiados bits de entropía (pero aún algunos).

Mientras agregue la matrícula a su contraseña, la contraseña se volverá más fuerte.