Entre la comunidad más conocedora de la seguridad (que incluye a security.stackexchange) hay una discusión en curso sobre la fuerza de las diferentes políticas de contraseña. Los ejemplos incluyen el Tr0ub4d0r&3
vs correct horse battery staple
, esquema de Bruce Schneiers , el esquema de la BBC , entre otros.
Todos estos enfoques diferentes se han examinado en profundidad, hasta los cálculos de nivel de entropía, qué tan fáciles son las ciertas contraseñas para recordar, etc. - y creo que todos podemos estar de acuerdo con las cualidades que necesitan las buenas contraseñas.
Además, todos conocemos las historias de password
, love
, 123456
, querty
y todas las otras frases inútiles en las que el promedio Joe se basa y que aparecen cada vez que se obtiene una gran colección de contraseñas filtrado en alguna parte.
Pero, ¿se han conocido casos en los que las personas invirtieron algún pensamiento / esfuerzo en elegir contraseñas que, en retrospectiva, demostraron ser demasiado débiles? A veces tengo la sensación de que si una organización / persona es consciente del problema de la contraseña, y tiene incluso un entendimiento básico de los principios de seguridad, ya están 99.9% seguros en ese frente.
Para reformular la pregunta:
¿Con qué frecuencia la fuerza de la contraseña ha sido un problema de seguridad real en un contexto profesional ?
Con 'contexto profesional' quiero decir explícitamente un contexto donde algunos Se tomó una decisión informada para elegir contraseñas decentes.
Por ejemplo, alguien eligió una contraseña no trivial (tal vez
Tr0ub4d0r&3
-style), y en realidad fue descifrada y explotada en un contexto donde un esquema diferente habría resultado más resistente (y donde la razón del incidente no fue otra parte fallida de la cadena de seguridad).