¿La contraseña de catorce caracteres es realmente débil?

Navega tus respuestas
3

He intentado iniciar sesión en el Centro de servicio cibernético de Samsung 1 . Como soy de Polonia, al principio probé la versión polaca de ese servicio. He ingresado una contraseña, que tiene:

  • 6 números en total (en tres grupos de dos números cada uno),
  • 6 caracteres en minúscula,
  • 3 caracteres en mayúscula,
  • 1 personaje especial,

en el siguiente orden: NNccccccNNCCC# .

Fui aplastado con un mensaje de error que dice que no puedo continuar porque ... mi contraseña es demasiado débil.

Para la verificación, fui a la versión en inglés de ese formulario de registro y, después de mirar durante dos minutos directamente el mensaje de error Password must be at least 8 characters , finalmente entendí lo que realmente significan. La contraseña debe contener al menos ocho caracteres en una fila , en los que mi contraseña falla, porque solo tiene seis y tres caracteres en una fila, (en cada uno de los dos grupos de caracteres ).

Me gustaría saber, ¿cómo debería tratar situaciones como esta? Es realmente mi contraseña de ejemplo demasiado débil (y debería considerar no usar contraseñas como esa) o son los primeros signos de Samsung Paranoia TM (o algún tipo de error en su sitio) y debería cambiar la contraseña solo esta vez para que coincida con su locura.

1 Para ver el formulario de inicio de sesión mencionado, debe ir Centro de servicios cibernéticos , haga clic en - Registration y luego en Sign Up Now .

    
pregunta trejder 09.01.2015 - 11:10
fuente

2 respuestas

6

Es una contraseña del formato

  

NNccccccNNCCC #

débil?

Bueno, hagamos algunos cálculos matemáticos de dos maneras:

  • Supongamos que se genera de forma puramente aleatoria (no es probable que tenga un patrón) y que hay 32 opciones para el símbolo final (también es poco probable; la mayoría de las contraseñas eligen de un subconjunto mucho más pequeño).

    • 10 ^ 2 * 26 ^ 6 * 10 ^ 2 * 26 ^ 3 * 32 ~ = 1.7E18 ~ = 2 ^ 61
    • Si el sitio contiene una única ronda de MD5 (no es improbable), una máquina moderna que realice un ataque fuera de línea con oclHashcat será exhaustiva busque este espacio clave total en aproximadamente 7 meses.
    • Un grupo de 7 personas cada una con una de esas máquinas, en aproximadamente un mes.
    • Un adversario bien financiado pasará más tiempo en el papeleo, incluso si el papeleo es simplemente "presionar el botón".
  • Supongamos que se genera de forma puramente aleatoria, excepto por la cadena de 6 caracteres, que es una palabra o cadena que aparece en un diccionario de craqueo común + conjunto de reglas de 200,000 posibilidades, y suponiendo que hay 32 opciones para el símbolo final (también es poco probable; la mayoría de las contraseñas elegir entre un subconjunto mucho más pequeño).
    • 10 ^ 2 * 200000 * 10 ^ 2 * 26 ^ 3 * 32 ~ = 1.1E15 ~ = 2 ^ 50
    • Si el sitio contiene una única ronda de MD5 (no es improbable), una máquina moderna que realice un ataque fuera de línea con oclHashcat será exhaustiva busque este espacio clave total en aproximadamente 0.004 meses, es decir, menos de 3 horas.
    • Si el sitio contiene hashes con una sola ronda de SHA-256, una máquina moderna que realice un ataque sin conexión con oclHashcat buscará esto exhaustivamente espacio clave total en aproximadamente 0.035 meses.
    • Si el sitio contiene miles de rondas de SHA-1 sin sobrecarga adicional (posible, supongo), una máquina moderna realiza un ataque sin conexión con oclHashcat buscará exhaustivamente este espacio clave total en aproximadamente 14 meses.
      • A menos que actualicen sus GPU durante ese año, en cuyo caso seguirá bajando.
      • Si espera, por ejemplo, 3 años, luego, de acuerdo con la Ley de Moore y el Corrollario de House, el tiempo de búsqueda exhaustiva sería de solo 3 meses y medio.
      • Si espera, digamos, 6 años, luego, de acuerdo con la Ley de Moore y el Corrollario de House, el tiempo de búsqueda exhaustiva sería de aproximadamente tres semanas.

Entonces, ¿qué cantidad de tiempo debe pasar un nivel determinado de adversario en un ataque fuera de línea para que usted considere su contraseña "no débil"? Solo tú puedes decidir eso, pero aquí están los cálculos para ayudar.

  • Esa máquina con 8 GPU en enero de 2015:
    • MD5 una ronda: 2.5E17 intentos / 30 días (2 ^ 58)
    • SHA-1 una ronda: 7.8E16 intentos / 30 días (2 ^ 56)
    • SHA-256 una ronda: 3.2E16 intentos / 30 días (2 ^ 55)
    • SHA-512 una ronda: 1.2E16 intentos / 30 días (2 ^ 53)
    • WPA / WPA2: 3E12 intentos / 30 días (2 ^ 41)
respondido por el Anti-weakpasswords 10.01.2015 - 09:02
fuente
3

Tu patrón de contraseña se ve bien para mí. Personalmente prefiero frases de contraseña aún más complejas.

No pude reproducir tu error.

Tu esquema (NNccccccNNCCC #) contiene solo 14 caracteres, pero escribiste que ingresaste 16.

Su rutina de prueba JS (consulte aquí ) no tiene problemas con una contraseña de 14 caracteres de su esquema NNccccccNNCCC #) ni 16 caracteres uno con dos números agregados al final (NNcccccNNCCC # NN).

Esto está en una versión de ejecución mínima: 

<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Script-Type" content="text/javascript" />
<meta http-equiv="Content-Style-Type" content="text/css" />
<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js"></script><scripttype="text/javascript">
$(document).ready(function(){
        var email = "[email protected]";
        var password = "12abcdefg34HIJ$56";

        if(password.length < 8){
            alert("PWD_VARIFY_MSG");
            return;
        }

        var chk_num = password.search(/[0-9]/g);
        var chk_eng = password.search(/[a-z]/ig);

        if(chk_num < 0 || chk_eng < 0){
            alert("PWD_VARIFY_NUM_ALPHA_MIX_CHECK");
            return false;
        }

        if(/(\w)/.test(password)){
            alert("PWD_VARIFY_SAME_CHAR_4TIMES_CHECK");
            return false;
        }

        if(password.search(email)>-1){
            alert("PWD_VARIFY_EMAIL_SAME_CHECK");
            return false;
        }
});
</script>
<body>

</body>
</html>

Por lo tanto, no necesitas 8 caracteres seguidos.

Tal vez el problema sea tu carácter especial. Algunos pueden ser del lado del servidor filtrado para evitar la inyección de SQL (...). Incluso podría ser que la contraseña sea demasiado larga y esto solo se verifique del lado del servidor.

    
respondido por el Rüdiger Voigt 09.01.2015 - 12:33
fuente

Lea otras preguntas en las etiquetas

Fijación de certificados y MITM corporativo ¿Cómo descifrar hashes 'salt + SHA256 (salt + password)' con JTR?