No exactamente. Más precisamente:
-
Para cualquier contraseña generada por el hombre (basada en una palabra o secuencia de caracteres conocida), la repetición de secuencias de caracteres de esa palabra base para crear una contraseña más larga hace que esa contraseña específica sea solo una pequeña bit más difícil que la palabra base subyacente ...
-
... pero la contraseña más larga resultante será inherentemente más débil que otras contraseñas de la misma longitud que se crearon usando un método de extensión de longitud más fuerte ...
-
... y es difícil para un medidor con seguridad de contraseña distinguir la diferencia.
Para entender por qué, necesitamos una comprensión tanto de las estrategias de memorización de contraseña humana, como de las limitaciones de los medidores de seguridad de contraseña.
Una estrategia de contraseña humana como la duplicación de letras es una forma común de cumplir con los requisitos de longitud de contraseña porque la carga cognitiva incremental para el usuario es baja (solo requiere que el usuario recuerde un poco más de información). Por ejemplo, si la contraseña mínima el requisito de longitud era 12, luego una contraseña paaaaassword
cumple con ese requisito, y el usuario solo tiene que recordar dos cosas:
- Mi contraseña comienza con la palabra
password
como base.
- Luego repito el
a
cuatro veces más.
Aumentar la longitud de la contraseña con un "truco" solo mejora ligeramente la resistencia de ataque. Si bien la entropía sin formato Shannon de la nueva contraseña es más alta, la entropía efectiva de la nueva contraseña es muy ligeramente más alta que la propia palabra base - porque en realidad es solo una pieza más de información adicional, lo que significa que los atacantes pueden utilizarla fácilmente. Muchas estrategias de alargamiento de contraseñas (agregar dígitos, agregar un par de caracteres especiales comunes, duplicar la palabra, etc.) son muy muy conocidas por los crackers de contraseñas. La mayoría de los programas de craqueo pueden probar estas estrategias a velocidades muy altas.
Por lo tanto, las estrategias como agregar caracteres repetidos a una contraseña generada por humanos son fáciles de implementar en un ataque de contraseña ... pero son mucho más difíciles de implementar en un medidor de seguridad de contraseña.
Es por esto que los medidores de seguridad de contraseña son notoriamente inexactos. Un medidor puede usar amplias medidas generales de fuerza (complejidad, reglas de composición) y aproximarse a algunos de los ataques básicos (máscaras, listas de palabras simples, etc.) ... pero es imposible que un medidor imite los millones de combinaciones de bases. Las palabras y las reglas de generación de contraseñas humanas ... sin comenzar a comportarse más y más como un motor de descifrado de contraseñas. Y tales medidores deben ser mucho más rápidos que eso, para poder dar retroalimentación en tiempo real al usuario.
Por lo tanto, la estrategia de repetir caracteres solo incrementa marginalmente la entropía eficaz , que caerá en ataques de alta velocidad ... pero el medidor de seguridad de contraseña no puede usar las mismas estrategias de ataque para indicar la diferencia.