Si le preocupa un ataque de solo audio, el primer paso es hacer todo lo posible para asegurar sus instalaciones físicas.
Cuando se trata de fisgonear con el teclado, sepa que se puede usar la cadencia de escritura; ciertas pulsaciones de teclas y "palabras" son más fáciles de escribir que otras, por lo que puede escribir a una velocidad diferente o con una posición diferente de sus manos (por ejemplo, en lugar de la fila de inicio y la escritura de teclas). Esta técnica se usa en ciertas configuraciones para determinar quién está ingresando la frase de contraseña y si existe alguna posibilidad de coacción.
Para combatir key loggers, sugiero usar un teclado suave. Mueva la ventana del teclado virtual de manera periódica (¡y no coloque fragmentos significativos de su frase de contraseña en el portapapeles!) Como distracción, tenga una ventana separada para ingresar texto aleatorio entre los segmentos de su frase de contraseña (no es necesario aceptar texto; hacer clic fuera del cuadro de contraseña en un sitio web debería ser suficiente). Estas técnicas también deberían funcionar bastante bien contra el espionaje solo de audio y la navegación pasiva con el hombro.
En cuanto a las frases de paso que contienen espacios en blanco, eliminaciones y teclas de flecha, hay formas de hacer que el trabajo también sea favorable. Considere un sistema basado en palabras como corrector de batería del caballo correcto . Esto es seguro porque cada palabra representa aproximadamente 100k posibilidades, por lo que la contraseña tiene 66 bits de entropía ( log₂(100k⁴)
). Sin embargo, si manipulas esas palabras en cosas que no están en los diccionarios, tu entropía aumenta. Escribí sobre cómo algunos de estos pueden calcularse en otra respuesta (TL; DR: multiplique el número de permutaciones por 2⁶ una vez por cada para: L33t hablar , caso raNdOM y errrorz).
Considera este esquema:
- Genere una frase de paso de 4-5 palabras con palabras completamente no relacionadas
- Presione la tecla Inicio
- Ingrese una contraseña segunda con cada carácter delimitado por un número prescrito de teclas → (por ejemplo, 1,1,1,1 ...; 0,2,0, 2…; 1,3,1,3…; 1,2,3,1,2,3…; o incluso una inicial de 3 y luego 1,2,1,2…)
- Repita la segunda contraseña hasta que haya llegado al final
Por ejemplo, correct horse battery staple
más la palabra rara troubador
se combinan para convertirse en ctorrreoctu hborased boatrte ryt srtaoplue
(comencé presionando la flecha izquierda, moví dos caracteres a la vez y puse un espacio entre las dos instancias de troubador
).
Al calcular la entropía de la contraseña, asuma siempre el peor de los casos: que el atacante conoce su esquema de contraseña. Eso significa que la entropía de esta contraseña proviene de cinco palabras ( 100k⁵
), multiplicada por las ~ 4 opciones para comenzar el código final, multiplicada por las ~ 5 opciones de patrones de movimiento, con un rendimiento de más de 87 bits de entropía ( log₂(100k⁵×4×5)
).
Un ejemplo más simple utilizando correct horse battery
más staple
que comienza de inmediato y mover tres caracteres a la vez se convierte en scortrecat hporsle beatt erys
con 71 bits de entropía (en comparación con el correct horse battery staple
's).
(Este esquema puede engañar o no a un registrador de teclas. Debido a que se mete con sus patrones de escritura, debería engañar a un grabador acústico, pero no soy un experto en eso, tal vez son lo suficientemente sensibles como para reconocer ciertas teclas comunes ?)
¡Asegúrate de que no haya límite de longitud! Las frases de contraseña basadas en palabras solo funcionan con más de 14 caracteres.