¿Por qué no usar una URL como contraseña?

Si se trata de una idea buena o mala, depende del tipo de contraseña que reemplaza esta contraseña de URL.

Una URL es generalmente una cadena bastante larga; La cadena de ejemplo tiene una longitud de 46 caracteres. Esto hace que un simple ataque de fuerza bruta (p. Ej., Pruebe cada combinación de letras, dígitos y caracteres especiales) sea inviable y una URL como la anterior es una contraseña mucho mejor que una que consta de solo una cadena de 6 letras totalmente aleatorias. dígitos y caracteres especiales.

La URL anterior también es una contraseña mejor que las que generalmente se publican en "los diez millones de contraseñas más comunes", etc. La URL de ejemplo contiene al menos 4 palabras: w3schools, sql, injection y asp. Ser palabras de diccionario no es realmente un problema. Si cada una de estas palabras se eligió al azar de un grupo de, digamos, 10000 palabras posibles (esto es un límite inferior; hay más de 10000 dominios disponibles y muchos más de 10000 palabras, esto incluye la URL de esta pregunta, que incluye el id '143283' (eso es un millón de posibilidades allí mismo), tendría una contraseña equivalente a unos 53 bits aleatorios. Eso no incluye ningún carácter especial (por ejemplo, donde están las barras inclinadas y los guiones bajos, lo que agregaría algunos bits adicionales). 53 bits ya no están a salvo de la fuerza bruta, pero es mucho mejor que la mayoría de las contraseñas que eligen los usuarios (123456, contraseña, loveyou, Maria, EatMyBackside, etc.). Así que puede estar seguro simplemente porque otras contraseñas se descifrarían antes que las suyas (no tiene que correr más rápido que un león para escapar de él, solo necesita correr más rápido que sus compañeros ...)

Ahora, con los problemas : el primero es que una URL es, contrariamente a lo que usted dice, un tipo de información personal. Para usar la URL, debe saber que existe, por ejemplo. Debes haberlo visitado al menos una vez. Esta es información que podría extraerse de fuentes distintas a usted; por ejemplo, si se capturó el historial de su navegador, es probable que la URL de su contraseña forme parte de él. Alguien también puede llegar a la URL (o al menos en parte) al espiar su navegación web y ver qué sitios visita. Entonces, sería una tarea simple que una araña rastreara todas las URL válidas en estos sitios y las introdujera en un buscador de contraseñas.

La segunda es que, si bien el espacio de todas las URL es bastante grande, no es tan grande como parece. Además, no todos los dominios tienen la misma probabilidad de ser la fuente de su URL de contraseña; por ejemplo, es una apuesta bastante segura que sabes reddit y craigslist y stackexchange, pero que nunca has visitado el sitio web de la universidad de Viena. Así que incluso si no puedo acceder al historial de su navegador, y aunque no puedo revisar cada una de las URL, puedo seleccionar nombres de dominio probables (por ejemplo, los 50000 dominios más visitados) y rastrearlos, lo que aumenta mi posibilidad de que encuentre su contraseña.

La tercera es que los cálculos que hice para llegar al tamaño de la contraseña de 53 bits suponen que las palabras encontradas en una URL son no relacionadas y se seleccionan al azar . Como puede ver con su URL de ejemplo, las palabras w3schools, sql, injection y asp no están relacionadas; todas ellas pertenecen a un conjunto de palabras relacionadas con la web. Muchas direcciones URL mostrarán esas palabras tomadas de un grupo de palabras, lo que reducirá aún más el número de combinaciones que tengo que probar.

Entonces, no, una URL no es un buen reemplazo para una contraseña segura (por ejemplo, una muy larga con un elemento aleatorio fuerte). Pero aún así, es mucho mejor que tu palabra básica del diccionario de seis letras.