¿Qué tan seguras son las contraseñas de "patrón"?

3

Estaba viendo un TED Talk acerca de la seguridad de contraseñas recientemente, que cubre varios tipos diferentes de contraseñas y compara lo seguros que son y lo fáciles que pueden ser recordados.

Sin embargo, un tipo de contraseña que no se mencionó es lo que llamo "contraseñas de patrón". Esas son contraseñas como "vbfhrudjxm" o "cde3 $ RFVbgt5" que siguen un patrón en el teclado:

Misuposicióningenuaesqueapesardequesuentropíaesclaramenteinferioraladelascontraseñasaleatoriasrealesdelamismalongitud,deberíantenerunafuerzacomparablecontralosataquesdediccionarioydefuerzabruta,mientrasquealmismotiemposonmuchomásfácilesderecordaryescribir..¿Escorrectoestesupuesto?

Unadesventajaes,porsupuesto,quesirecuerdaelpatrónenlugardeloscaracteresreales,podríatenerproblemassiencuentrauntecladoconotrodiseño(especialmenteconcaracteresnoalfanuméricos)peroesopuedeserunproblemaconotrostiposdecontraseñastambién.

Esta pregunta sobre el bloqueo de patrones en dispositivos táctiles está relacionado, pero ofrecen menos combinaciones posibles y suelen ser más cortos y esta pregunta también habla de contraseñas" basadas en patrones "pero en el sentido de un patrón en la estructura de la contraseña en lugar de un patrón en el dispositivo de entrada.

    
pregunta Roman Reiner 16.06.2015 - 10:26
fuente

3 respuestas

2

Algunas listas de palabras como rocky tienen estas secuencias en ellas, por lo que no será tan seguro contra un ataque de diccionario; ya que los ataques de diccionario a menudo ya no incluyen solo palabras normales en inglés.

Además, algunas herramientas ( autocrack , keywalker , ...) existe una prueba específica para estos, y como Chriss Murray señaló, reduce su entropía.

    
respondido por el ndrix 21.06.2015 - 11:44
fuente
1

Esto parece ser mejor contra los ataques de diccionario y de fuerza bruta, sí. Sin embargo, el atacante no se limitará a este tipo de ataques.

El problema con este tipo de enfoques, es que solo son seguros siempre y cuando el atacante no descubra que estás generando contraseñas de esta manera. Si el atacante sabe que genera contraseñas como esta (lo que debería suponer que hacen, consulte Principio de Kerckhoff ), Puede probar varios patrones según su tipo de teclado, en lugar de tener que probar cada combinación de letras.

Además, este enfoque en realidad reduce significativamente la entropía. Por ejemplo, si la primera letra es 'x', entonces sé que solo 'z', 's', 'd', 'c' y el espacio son válidos como la siguiente letra, que es significativamente menor que cualquier otra letra / Número / carácter especial en el teclado.

    
respondido por el Chris Murray 16.06.2015 - 12:01
fuente
1

Como la mayoría de los algoritmos de generación de contraseñas, este se basa en la seguridad a través de la oscuridad.

Mientras nadie sospeche que usas este método, nadie usará una herramienta de descifrado que intente contraseñas basadas en patrones triviales en un teclado QWERTY. Pero tan pronto como alguien sospeche que podría estar usándolo, esto cambiaría. Tan pronto como alguien se sienta obligado a escribir una rutina de craqueo a medida, debe observar cuánta entropía hay realmente en sus patrones.

Sin contar el bloque numérico (lo que sería una mala idea porque no puedes llegar a las letras de esa manera), hay 46 teclas en tu teclado con las que puedes comenzar. Así que la primera clave tendría una entropía de 5.5 bytes. De cada tecla hay entre 6 y 2 posibilidades de cómo proceder. Soy demasiado perezoso para calcular el promedio y también está la tecla de mayúsculas que presiona en algún momento y suelta en otro, así que seré generoso y asumiré que siempre hay 8 posibilidades en promedio, lo que equivale a 3 bits de entropía. El patrón cde3$RFVbgt5 tiene una entropía de ( 5.5 + 3 * 11 ) 38.5 bit de entropía (388.7 billones de patrones). Eso es equivalente a una contraseña completamente aleatoria que potencialmente utiliza el conjunto de caracteres ASCII imprimible de 6 caracteres .

Demasiado débil para cualquier sistema que deba soportar un ataque de fuerza bruta.

    
respondido por el Philipp 21.06.2015 - 12:07
fuente

Lea otras preguntas en las etiquetas