Letras de canciones como frases de contraseña [duplicar]

Al igual que con cualquier pregunta de adivinación / fortaleza de la contraseña, es probable que el factor más importante sea "quién es el atacante".

Para los ataques de adivinación de contraseñas en línea, por parte de un atacante que no lo conozca, el factor más importante es asegurarse de que no se adivine su contraseña antes de que comience el bloqueo de la cuenta. Siempre que su contraseña no sea correcta. en la parte superior de un par de cientos de posibles selecciones, es probable que estés bien. Las letras (especialmente las de una canción que no es actualmente tan popular) son muy poco probables aquí.

Si piensa en un escenario en el que un sitio web en el que tiene una cuenta se ha visto comprometido y la base de datos de contraseñas está siendo descifrada, es probable que su cuenta en ese sistema se haya quemado, por lo que en términos de detener la seguridad de sus otras cuentas El factor más importante es asegurarse de que utiliza contraseñas únicas en cada sitio que utiliza. Si puede hacerlo con las letras de las canciones, no se verá afectado por el compromiso de una contraseña.

Si estás mirando un escenario donde el atacante te conoce, las cosas se vuelven más riesgosas, especialmente si has revelado el esquema que estás usando. Sería relativamente fácil crear una base de datos de letras de canciones populares y aplicarla a una contraseña sin conexión. Pero lo que hay que tener en cuenta es que cualquiera que sepa que es probable que lo haga ... Es una decisión de riesgo que solo usted puede tomar.

Algunas consideraciones prácticas con este esquema. Es posible que tenga problemas para usarlo en sitios que impongan clases de contraseña (por ejemplo, caracteres especiales). También puede tener problemas con los sitios que imponen límites superiores arbitrarios en la longitud de la contraseña.

Lo siento, pero no eres la primera persona en pensar en esto, así que puedes apostar a que esta técnica se automatizará en algún software de descifrado de contraseñas. Siempre es mejor asumir que el pirata informático conoce su esquema de generación al evaluar este tipo de esquemas.

Entonces, ¿qué tan seguro es esto? Bueno, una rápida búsqueda en Google de "número de canciones en spotify" arrojó el número 30 millones. Hacer un recuento de palabras en una canción aleatoria ( enlace ) que arrojó 483 es sobre el número de palabras en una cancion Para una contraseña de cuatro palabras, puede adivinar así: "las ruedas del", "ruedas del autobús", "del autobús" y así sucesivamente (esta no es la forma más inteligente de adivinar, puede escribir sus frases un hash establecido primero para eliminar duplicados).

Tenga en cuenta que usar más palabras en realidad no aumenta la entropía. Hay 483 palabras en una canción, hay 482 frases de 2 palabras, 483 frases de 3 palabras y así sucesivamente.

Entonces, 30 millones * 500 = 15 mil millones o 33 bits de entropía o 2048 veces menos seguro que una forma de contraseña de palabras realmente aleatorias. Este es un gran exceso de estimación de la seguridad debido a la optimización del conjunto de hash.

Cualquier forma de administrador de contraseñas resolvería este problema. Actualmente, usted está tratando de complicar en exceso las contraseñas. La letra de la canción es definitivamente una idea interesante para una contraseña, y la duración por sí sola es relativamente segura, pero si desea tener algo seguro que pueda recordar y no cause problemas, use un administrador de contraseñas.

Depende en gran medida de qué tan bien se realice la ingeniería social.

Si el atacante supiera que estás usando letras de canciones y hubiera un millón de canciones para elegir las letras al azar, sería lo suficientemente seguro para cuentas de bajo riesgo.

PERO no eliges las canciones al azar. Supongo que la mayoría de las canciones que escuchas son de una gama relativamente pequeña de géneros y bandas. Si el atacante tiene un conocimiento detallado de tu música preferida, la cantidad de canciones se reducirá a unos pocos cientos y tu estrategia se volverá muy insegura.

Obtener esa información puede ser realmente fácil: uno podría preguntarle a sus amigos sobre su gusto con respecto a la música, si él mismo no lo conoce. Si estás compartiendo la música que escuchas usando facebook y spotify o lastfm se vuelve aún más fácil.

La longitud del fragmento ya no jugará un papel importante, ya que el orden de las palabras está definido por las canciones. De hecho, si solo usa oraciones o líneas completas, esto reducirá aún más la seguridad.

Suponiendo que esté utilizando líneas completas de una selección de 100 canciones, cada una de las cuales contiene 20 líneas diferentes (las líneas de refinar solo cuentan una vez), terminará con tan solo 2000 contraseñas diferentes.

Son menos contraseñas posibles que cuando se usan 2 letras latinas aleatorias (se permiten mayúsculas y minúsculas), como "yA" o "UD".

Para resumir, es una mala idea usar songtexts como contraseñas.

Al utilizar frases de contraseña de varias palabras, su contraseña es lo suficientemente grande como para ser inmune a los ataques de fuerza bruta simples. Pero la debilidad aquí es que no estás usando 4 palabras al azar de una canción, pero creo que usarás una oración verdadera con un significado por sí misma en el orden de las canciones . Si limitamos un esquema automático a oraciones de 4 a 8 palabras (*), obtenemos por canción no más de 5 * número de palabras. No mucho más que varios miles por una canción común. Como estoy pensando en un diccionario automático como ataque, no estoy considerando el significado aquí. Pero me temo que no hay suficientes canciones para hacer que el método de contraseña sea resistente a un ataque dirigido.

En ese sentido, esta respuesta no es muy diferente de la de la BBC: el mejor patrón para construir una contraseña es no usar ningún patrón. Esa es la razón por la que los administradores de contraseñas tienen buena reputación aquí, permiten el uso de contraseñas aleatorias verdaderas que por construcción son resistentes a cualquier ataque ... excepto por serie de manguera de goma que aquí incluiría ataques locales contra el administrador de contraseñas, si la contraseña maestra es débil ...

(*) Menos de 4 dará lugar a frases de contraseña realmente cortas, y más de ocho pronto será tedioso escribirlas manualmente.

Una cosa que importa bastante es la canción que eliges. Suponiendo que haya algún tipo de esquema de automatización en marcha, intentarán usar las letras de las mejores 40 clases de canciones antes de ahondar en letras más oscuras. Una vez más, aquí es donde alguien que te ataca personalmente podría cambiar las cosas: si conocen tus opciones de música, pueden tomar ese ángulo y limitar su selección de canciones.

Podrías hacer algún tipo de transformación básica en letras de canciones, como tomar la segunda letra de cada palabra en una frase larga o cambiar ciertas letras a números. Eso reduciría su riesgo de que alguien lo apunte considerablemente.

En su lugar, sugiero usar oraciones que incluyen puntuación , y luego usar solo las letras (en mayúsculas) de esa oración. Agrega números si quieres. El problema con las palabras es que se pueden encontrar en un diccionario, lo que hará que su contraseña sea mucho menos segura de lo que cree.

Recordar oraciones es bastante fácil. Este sistema me ha llevado a tener > 10 contraseñas largas con signos de puntuación y sin palabras, como mínimo, hasta 15-20 cuando es importante. Eso es un poco más seguro, y aún así es bastante fácil de recordar.

Probablemente podrías usar esto con tus letras si lo deseas.