Si una contraseña repite una secuencia de caracteres, ¿es más fácil de descifrar?

No exactamente. Más precisamente:

• Para cualquier contraseña generada por el hombre (basada en una palabra o secuencia de caracteres conocida), la repetición de secuencias de caracteres de esa palabra base para crear una contraseña más larga hace que esa contraseña específica sea solo una pequeña bit más difícil que la palabra base subyacente ...

• ... pero la contraseña más larga resultante será inherentemente más débil que otras contraseñas de la misma longitud que se crearon usando un método de extensión de longitud más fuerte ...

• ... y es difícil para un medidor con seguridad de contraseña distinguir la diferencia.

Para entender por qué, necesitamos una comprensión tanto de las estrategias de memorización de contraseña humana, como de las limitaciones de los medidores de seguridad de contraseña.

Una estrategia de contraseña humana como la duplicación de letras es una forma común de cumplir con los requisitos de longitud de contraseña porque la carga cognitiva incremental para el usuario es baja (solo requiere que el usuario recuerde un poco más de información). Por ejemplo, si la contraseña mínima el requisito de longitud era 12, luego una contraseña paaaaassword cumple con ese requisito, y el usuario solo tiene que recordar dos cosas:

1. Mi contraseña comienza con la palabra password como base.
2. Luego repito el a cuatro veces más.

Aumentar la longitud de la contraseña con un "truco" solo mejora ligeramente la resistencia de ataque. Si bien la entropía sin formato Shannon de la nueva contraseña es más alta, la entropía efectiva de la nueva contraseña es muy ligeramente más alta que la propia palabra base - porque en realidad es solo una pieza más de información adicional, lo que significa que los atacantes pueden utilizarla fácilmente. Muchas estrategias de alargamiento de contraseñas (agregar dígitos, agregar un par de caracteres especiales comunes, duplicar la palabra, etc.) son muy muy conocidas por los crackers de contraseñas. La mayoría de los programas de craqueo pueden probar estas estrategias a velocidades muy altas.

Por lo tanto, las estrategias como agregar caracteres repetidos a una contraseña generada por humanos son fáciles de implementar en un ataque de contraseña ... pero son mucho más difíciles de implementar en un medidor de seguridad de contraseña.

Es por esto que los medidores de seguridad de contraseña son notoriamente inexactos. Un medidor puede usar amplias medidas generales de fuerza (complejidad, reglas de composición) y aproximarse a algunos de los ataques básicos (máscaras, listas de palabras simples, etc.) ... pero es imposible que un medidor imite los millones de combinaciones de bases. Las palabras y las reglas de generación de contraseñas humanas ... sin comenzar a comportarse más y más como un motor de descifrado de contraseñas. Y tales medidores deben ser mucho más rápidos que eso, para poder dar retroalimentación en tiempo real al usuario.

Por lo tanto, la estrategia de repetir caracteres solo incrementa marginalmente la entropía eficaz , que caerá en ataques de alta velocidad ... pero el medidor de seguridad de contraseña no puede usar las mismas estrategias de ataque para indicar la diferencia.

Si estás hablando de un ataque clásico de fuerza bruta, repetir una secuencia no hará ninguna diferencia. Cada combinación de caracteres se intentará a su vez, por lo que la longitud de la contraseña es directamente proporcional a la duración del tiempo de crack.

Una contraseña típica en inglés de 10 caracteres tiene aproximadamente 70 ^ 10 combinaciones posibles o 2.8 con 18 ceros adicionales

Un ataque de diccionario puede usar 20,000 palabras, por lo tanto, repetir una palabra dos veces puede ganarle longitud, pero aún es muy susceptible a este ataque.

Voy a decir que sí, tus contraseñas no deberían tener patrones comunes. Trataré de explicar por qué, pero primero permítame darle un contexto histórico.

Tradicionalmente, un ataque de fuerza bruta es un ataque que intenta atravesar todas las combinaciones posibles hasta encontrar la correcta. Este método es generalmente obsoleto hoy en día.

Fue reemplazado por ataques de diccionario, que toman una lista de palabras e intentan probar cada palabra en esa lista hasta encontrar la correcta. Estas palabras suelen ser contraseñas comunes y el nombre proviene del hecho de que originalmente solo intentaba cada palabra en el diccionario, ya que la mayoría de las contraseñas eran palabras simples.

Hoy tenemos las mismas contraseñas de una sola palabra, pero la mayoría de las personas agregan dígitos al final o intentan complicarlo de alguna manera. La mayoría de los ataques contra contraseñas siguen usando el método de diccionario, pero muchos de ellos ahora también usan listas de reglas. Estas listas toman cada palabra de la lista de palabras, y luego la ponen a través de una regla, donde se generan varias variaciones de la misma contraseña, generalmente agregando números al final y reemplazando caracteres específicos con otros que serían el comportamiento típico de alguien que está intentando fortalecer su contraseña puede tomar.

En resumen, sí. Estás creando un patrón para tu contraseña. Algunas reglas incluirán este tipo exacto de comportamiento. Solo trata de hacerlo lo más impredecible posible.