¿Es bueno no tener secuencias basadas en teclado en nuestro generador de contraseñas?

Navega tus respuestas
3

Si tenemos que escribir un generador de contraseñas, ¿es una buena idea contener un verificador de "secuencia basada en teclado"? Así que si la contraseña generada es: 

asdf4%'Q!76342

Entonces esta contraseña será rechazada por el generador, y genera otra, debido al "asdf".

Pregunta: ¿Es una buena idea eliminar las contraseñas que tienen "secuencias basadas en el teclado"? ¿O solo producirá contraseñas que pueden romperse estadísticamente, ya que sabemos que las contraseñas no tendrán "asdf" en ellas? ¿Qué solución es mejor?

    
pregunta freaking-good-question 09.02.2015 - 18:58
fuente

3 respuestas

4

Yo diría que sí. @Philipp hace algunos puntos buenos, pero ¿cuántas contraseñas realmente se caerían si eliminas las secuencias basadas en palabras clave? Probablemente no sea suficiente para hacer una diferencia real (dependiendo de cómo se filtre realmente, por supuesto).

La probabilidad de que se genere esa contraseña es (probablemente) increíblemente baja (por lo que otra pregunta es si realmente vale la pena el trabajo para implementar dicho filtro), pero si realmente sucede, sería bastante malo, porque entonces esa contraseña generada es fácil de adivinar, que es exactamente lo que quiere evitar con las contraseñas generadas.

Cuando filtre, la longitud de la secuencia basada en el teclado que filtre debe estar en una proporción razonable a la longitud de la contraseña. Por lo tanto, si genera contraseñas de longitud 15, filtrar asd probablemente no sea una buena idea (porque asd en una contraseña larga no conduce a contraseñas fáciles de adivinar, pero en realidad excluiría un rango bastante amplio de contraseñas) . Probablemente excluiría la contraseña si contiene una secuencia de longitud de aproximadamente password.length - 4 (4 caracteres adicionales a una secuencia parecen suficientes para evitar la fuerza bruta simple).

Si filtra las contraseñas generadas, yo también filtraría contra una lista de contraseñas comunes (realmente no desea que su generador de contraseñas genere 123456 o password1 ).

    
respondido por el tim 09.02.2015 - 22:25
fuente
3

Un buen esquema de seguridad supone que el atacante sabe cómo se generan sus contraseñas.

Cuando el atacante sabe que su algoritmo nunca generará ciertas contraseñas, no tendrá que verificarlas, lo que reduce la carga de trabajo que necesitan para invertir en fuerza bruta. Por lo tanto, sería contraproducente tener una restricción de este tipo en su generador.

    
respondido por el Philipp 09.02.2015 - 20:30
fuente
0

Un pensamiento podría ser tratar de descifrar las contraseñas que se generan con una o más herramientas de descifrado de contraseñas para garantizar que sean sólidas. Si la herramienta puede romperla, genere una nueva contraseña. Esto debería eliminar muchas contraseñas inseguras generadas automáticamente, incluidas las secuencias de teclas y las palabras del diccionario. Un problema con esto es que puede requerir demasiada potencia de cómputo para ejecutar la verificación dependiendo de cuántos usuarios estén creando nuevas contraseñas.

    
respondido por el Jonathan 10.02.2015 - 15:03
fuente

Lea otras preguntas en las etiquetas

Certificado de firma OCSP no válido en respuesta OCSP ¿Cómo se usan las imágenes de 1x1 píxeles en un contexto malicioso?