¿Qué tan seguro es cambiar o agregar un solo carácter en su frase de contraseña?

  

¿existe evidencia de intentos de descifrar más estas frases de contraseña o es más probable que su hacker típico pase a la siguiente cuenta en su lista?

Esto depende. Si el atacante puede adivinar que su esquema de cambio de contraseña es simplemente reemplazar un solo carácter (tal vez porque tuvo acceso a sus dos últimas contraseñas o sabe cómo lo cree), entonces probablemente intentará cambiar solo los caracteres individuales.

Y si su cuenta parece más valiosa que otras, el atacante intentará más difícil descifrar su contraseña. Depende de lo que sea el mejor retorno de la inversión.

Y en cuanto al "hacker típico": el hacker típico se adaptará. Existen muchas filtraciones de contraseñas y éstas se utilizan para averiguar qué tipo de contraseñas se utilizan más y qué tipo de variaciones se realizan. Esta información se utilizará para hacer que los intentos de craqueo sean más inteligentes y rápidos. Si las nuevas fugas muestran un cambio de comportamiento, los algoritmos para el craqueo se adaptarán nuevamente.

  

... si tuviéramos que cambiar una contraseña de supersecret11 a s.upersecret11, ¿esto no logra de manera efectiva lo mismo que cambiar la frase de contraseña completa?

Sea cual sea el esquema que use para derivar su próxima contraseña de la anterior, siempre será más débil que simplemente elegir una nueva contraseña aleatoria. Esto es especialmente cierto si el atacante sabe de alguna manera el esquema que está utilizando (tal vez derivado de conocer sus últimas contraseñas) porque entonces puede crear y verificar fácilmente las pocas variantes de la nueva contraseña.

Hay un aspecto matemático que cambiará dependiendo del número de caracteres utilizados y el número que puede elegir. Esto puede calcularse para cualquier contraseña específica para cualquier sistema específico para obtener parte de su respuesta.

Más importante aún. Para las personas que observan los volcados de contraseñas de forma regular (analizadores de penetración y otros profesionales de seguridad), vemos los patrones y sabemos cuál será el próximo patrón probable. Por ejemplo, cuando veo lo siguiente:

usuario: [email protected] contraseña: LoveMyJob6

Casi siempre asumo que el 6 al final representa su incremento de número porque tuvo que cambiar una contraseña varias veces. Del mismo modo, puedes imaginar lo que supongo que serán las siguientes contraseñas:

LoveMyJob7

LoveMyJob8

LoveMyJob9

etc ...

Como probador de penetración, y presumiblemente como atacante, sí, voy a tener esto en cuenta y probaré esto primero. Este es solo un patrón, pero hay muchos patrones que son similares. Si pasa algún tiempo buscando volcados de contraseñas que se han hecho públicos en sitios como pastebin.com, comenzará a verlos usted mismo. También te horrorizarás de cuán malas son las contraseñas.

Vuelvo a tu pregunta, si estoy buscando obtener acceso a una empresa y tener varias cuentas, también intentaré acceder a al menos una cuenta lo más rápido que pueda, así que sí, voy a Ejecutar todas las cuentas de (organización objetivo) que tengo primero usando la contraseña exacta que encuentro primero (porque es rápido y fácil cargar una lista como esa en una herramienta como Hydra. Luego, veré las variaciones de la versión actual. contraseñas, luego las 1000 más importantes, luego busque palabras similares que el usuario tenga en los sitios personales o de la industria o en el sitio web de la empresa. Hay otras cosas como si la contraseña anterior es una palabra en otro idioma como el alemán. Puedo cargar inmediatamente una Diccionario alemán o las 500 palabras alemanas más usadas como contraseñas.

En última instancia, la elección humana no es aleatoria, por lo que, desde la perspectiva de los atacantes, atacar el patrón humano es mucho más rápido que atacar por fuerza bruta. Así que sí, los atacantes, y los probadores de penetración, irán a esa ruta tan lejos como pueda.

Haciendo referencia a su pregunta específica sobre "supersecret11 a s.upersecret11" para mí esto es un pequeño cambio en una frase de contraseña y no es equivalente a cambiar la frase de contraseña completa. Ten en cuenta que sí, hubiera intentado supersecret12 o alguna otra cosa primero, pero si veía otra cuenta en la que el mismo usuario también había perdido otra contraseña como l.esssecret11, inmediatamente volveré y probaré las variaciones que parezcan similares.

Es difícil medir esto, pero como una gran parte de la frase de contraseña no se modificó, no lo consideraría igual que cambiar la frase de acceso completa.

Análisis de riesgos

Todas las políticas de contraseñas son obligatorias para cambiar las contraseñas regularmente. Esto es para reducir un riesgo, el riesgo de que una contraseña esté comprometida y que el propietario de esta contraseña o el sistema que la usa para autenticarse Él no descubriría este compromiso lo suficientemente pronto. Entonces este secreto Habría perdido su propiedad clave. Esta probabilidad de compromiso de una contraseña es aumentando con:

• utilizar (bajo una cámara de vigilancia inadvertida o iPhone cercano),
• errores de usuario (escribir una contraseña en la interfaz incorrecta),
• sugerencias que lo hacen menos secreto (cada derivado de una información conocida),
• servidores comprometidos (que no podrían detectarlo y dígaselo a sus clientes),
• servidores sucios (uso de un servidor que guarda las contraseñas en claro forma de texto y no se siente necesario informar a sus clientes)

y todos estos incidentes secretos son una función del tiempo. En un momento dado, debe considerar que la probabilidad de que el Se conoce la forma de texto claro de su contraseña en realidad es == 1.

Para cubrir este riesgo, tiene que cambiarlo y, por supuesto, de una manera que elimine la vulnerabilidad: el conocimiento de sus enemigos / as . Entonces tienes que cambiarlo lo más completamente posible , y diría que en una tan impredecible como sea posible por cualquier tipo de enemigo que puedas imaginar.

En este proceso, tu memoria también puede convertirse en un enemigo oculto. Imaginemos que su contraseña es una función del tiempo como esta:

• año n: ße©®e†_001
• año n + 1: ße©®e†_002

después de solo un año de uso de un esquema de contraseña tan práctico, Cometer errores de memoria entre versiones actuales y anteriores. Y aumentará los errores de contraseña y finalmente la hará aparecer en muchos archivos de registro a los que no se puede acceder y borrar. Finalmente, terminará usted mismo erosionando el secreto de sus contraseñas.

Para reducir este riesgo, una vez más, debe cambiarlo lo más completamente posible . Y confía en mí, tu memoria también será mucho mejor aliada con un cambio total que con uno parcial.

  

Mi pregunta es, prácticamente hablando, cuánto "menos" seguro es esto   que cambiar todo el asunto? . . (de nuevo, esto se pregunta desde una   punto de vista general, ignorando los ataques dirigidos por el usuario, centrándose en "listas   de cuentas comprometidas "a las que pueden acceder los piratas informáticos)

Creo que este es un caso donde no es bueno generalizar. La seguridad es un campo muy dependiente de la situación. Nos gusta generalizar para dar consejos a grandes cantidades de personas, pero este es un caso en el que realmente depende de los detalles.

A un atacante le interesa hacer "lo más fácil" para obtener acceso a lo que quiere. Si el atacante tiene otras 1000 cuentas que son tan buenas como las tuyas, seguirá buscando una mejor, mientras que si solo tiene 3, es más probable que te ataquen. También depende de los recursos que el atacante tiene a su disposición. Si el atacante tiene más recursos de ataque que recursos para atacar, puede ser objetivo incluso si el atacante tiene 1000.

El punto es que realmente no hay ninguna generalización que sea terriblemente significativa. Depende de lo que intenta proteger y de quién lo persigue.

Las otras respuestas proporcionan buena información técnica sobre por qué esto no es particularmente seguro. Pero nos lleva a una conclusión que es interesante en sí misma:

Los sistemas que requieren cambios periódicos de contraseñas no son sustancialmente más seguros que la línea de base, a menos que esté dispuesto a almacenar contraseñas antiguas no lavadas (cuestionables en el mejor de los casos) o renunciar a avalanche effect para su algoritmo de hashing (objetivamente malo).

Se puede decir que almacenar las contraseñas antiguas sin eliminar no es peligroso, siempre que las contraseñas antiguas no estén correlacionadas con las nuevas. Pero el problema es que el usuario no es un robot . Ante un error que dice "su nueva contraseña es demasiado similar a su antigua contraseña", el usuario no se rendirá y creará una contraseña aleatoria completamente nueva. Harán todo lo posible para derrotar tu sistema, cambiando un personaje aquí o allá hasta que encuentren algo aceptable. En este punto, la contraseña anterior es una responsabilidad importante ya que todavía es bastante similar a la nueva contraseña.

(Puede guardar la (s) contraseña (s) antigua (s) y luego mutar la nueva contraseña para tratar de "buscar" la (s) contraseña (s) anterior (s), o pedirle al usuario que vuelva a ingresar su contraseña anterior justo antes de cambiarla, pero eso simplemente pasa esta idea de "responsabilidad" a "sin valor" porque el usuario todavía derrotará su sistema de una forma u otra.)

Este es un punto de intersección entre los factores humanos y la seguridad. Sí, rotar su contraseña correctamente , al crear una completamente nueva cada vez, es más seguro que dejarla fija. No, no es realista hacer que los usuarios hagan esto.

En su lugar, debe centrarse en hacer que las contraseñas de sus usuarios sean lo suficientemente seguras como para que no sea necesario rotarlas. Parte de esto es aplicar mitigaciones técnicas estándar como el hashing de contraseña fuerte (lento) y la limitación de velocidad. Pero también hay elementos humanos. Muchos usuarios no entienden lo que hace una buena contraseña. Los buenos medidores de seguridad de contraseñas como zxcvbn (a diferencia de los de mierda que encontrará en toda la web) pueden ayudar con esto, junto con con educación y compromiso del usuario.