Muchos formularios de registro le impiden elegir una contraseña que incluya su nombre de usuario. ¿Es una restricción razonable desde el punto de vista de seguridad? Puedo ver que si su nombre de usuario es "foobar" y la contraseña "foobar1" es fácil de adivinar, pero ¿no debería estar permitido si la contraseña es lo suficientemente fuerte?
¿Es n)_h322">L2=Q2*foobar realmente menos seguro que solo n)_h322">L2=Q2* ?
En una palabra, no . Pero eso no es lo que suele ocurrir.
Cualquier cosa agregada a una contraseña lo hace más seguro o no cambia en absoluto. Pero como es muy común agregar / anteponer su nombre de usuario, en muchos casos de uso suele caer en la categoría sin cambio , lo que dificulta mucho la verificación de la seguridad de la contraseña.
Por ejemplo:
Username: JonathanParr27
Password: JonathanParr27!
Aquí, la contraseña es simplemente el nombre de usuario con un ! anexado. La contraseña contiene mayúsculas, minúsculas, dígitos y puntuación, más 15 caracteres de longitud. Por métricas típicas, debería ser una buena contraseña. Pero un atacante intentará agregar números o signos de puntuación al nombre de usuario en intentos de fuerza bruta, por lo que ahora esta contraseña larga y compleja puede reducirse realmente a username + ! , que es rápido y fácil de adivinar.
Como tal, la mayoría de los lugares con requisitos de contraseña segura simplemente dirán, no, si usa su nombre en su contraseña, no es bueno . Esto simplifica la verificación de la seguridad de la contraseña y también pone fin a la práctica tonta de usar su nombre de usuario como base para su contraseña.
Las políticas de contraseña de TL; DR no se hacen realmente para las personas que usan generadores aleatorios para generar contraseñas con 96 bits de entropía. Están hechos para la gran mayoría de las personas, también conocidos como espectadores lolcat.
La entropía de una contraseña proviene de cómo se generó la contraseña en lugar de los caracteres que contiene o no. Por ejemplo, la contraseña generada aleatoriamente kztc0!#F2mZq tiene 79 bits de entropía. Si un atacante sabe que le gusta agregar su usuario al final de sus contraseñas, entonces kztc0!#F2mZqfoobar tiene exactamente la misma entropía que kztc0!#F2mZq , es decir, la última es tan segura como la primera.
Ahora, aquí está la parte interesante. Si el atacante sospecha que agrega su nombre de usuario al final de su contraseña, entonces kztc0!#F2mZqfoobar tiene, de manera poco intuitiva, solo un poco más de entropía que kztc0!#F2mZq . Si el atacante sabe que tienes tu nombre de usuario en tu contraseña pero no conoce la ubicación exacta, kztc0!#F2mZqfoobar tiene 3 bits más de entropía.
Ahora, volvamos a la realidad . En la práctica, la mayoría de los usuarios no generan contraseñas aleatorias y prefieren usar contraseñas como mylovelyann1982 o lolpassword999 . Por lo general, eligen las contraseñas entre 6-10 caracteres. Por lo tanto, si el nombre de usuario es de 4 a 5 de esos caracteres en la contraseña original de baja entropía, la contraseña sería aún más débil. Esas contraseñas están dirigidas por dichas políticas de contraseñas.
Puede tener sentido contar el número de caracteres en la contraseña que no parecen ser partes reconocibles del perfil del usuario. Para el usuario "gere", no debería haber un problema con la contraseña "cabinet triggered frederickson", aunque contenga "gere", ya que también contiene "cabinet trig" y "d frederickson". Para el usuario "freddy932", sin embargo, una contraseña "freddy!" contiene cualquier cosa de importancia que no sea un signo de exclamación.
Al incluir el nombre de usuario en la contraseña, está facilitando el ataque de fuerza bruta, ya que el atacante ya conoce a algunos personajes sobre la contraseña. Reduce significativamente el tiempo de adivinación. En el caso de "foobar1" como dijiste, ciertamente es fácil de adivinar para el atacante.
En el caso de n)_h322">L2=Q2*foobar , la fortaleza de la contraseña es seguramente menor que la de la contraseña que tiene el mismo número de caracteres pero que no contiene el nombre de usuario.
Pero eso es parte de la teoría, en la práctica los usuarios no mantienen contraseñas que son difíciles de adivinar o mantienen contraseñas que son fáciles de recordar. Debido a la falta de suficiente aleatoriedad para dificultar las adivinanzas, los sitios web aconsejan no incluir nombres de usuario en las contraseñas.
¿Es n) _h322 "> L2 = Q2 * foobar realmente menos seguro que solo n) _h322" > L2 = Q2 *?
Suponiendo que el atacante sabe que el usuario está usando el nombre de usuario en la contraseña, entonces, para cada contraseña, el atacante debe probarlo con una combinación de nombre de usuario. Por ejemplo, el atacante debe probar foobarn)_h322">L2=Q2* , n)_h322"foobar>L2=Q2* etc. Entonces, n)_h322">L2=Q2*foobar debería ser un poco más seguro que solo n)_h322">L2=Q2*
Como lo señalaron otros, agregar caracteres extra "conocidos" no hace que la contraseña sea menos segura, ya que la entropía es una medida de cuántos otros valores podría haber asumido la contraseña, y una adición sistemática y sistemática de caracteres no cambiar ese número.
Sin embargo, hay comentarios. La contraseña es elegida por un humano y será escrita por un humano, y está limitada por tres tipos de reglas:
La política de "tamaño mínimo" es una forma de evitar que los usuarios usen contraseñas de 3 letras o menos. De hecho, los usuarios tienden a maximizar su función de utilidad (como dicen los economistas), es decir, usarán contraseñas que les facilitarán la vida. Una contraseña muy corta es fácil de escribir y fácil de recordar. Pero esto a menudo conduce a contraseñas que son fáciles de descifrar, de ahí la política de tener un tamaño mínimo (a menudo de 8 caracteres). En ese contexto, agregar el nombre de usuario tiene dos efectos perversos:
De hecho, si el usuario tiene el nombre "foobar" y necesita cumplir con una política de "al menos 8 caracteres", intentará usar una contraseña como "foobar42", que no es segura en absoluto ... ya que su longitud efectiva es de 2 caracteres, no 8.
La línea de fondo es que al insertar o agregar el nombre de usuario en la contraseña no se reduce la seguridad cuando todas las otras cosas permanecen igual , las otras cosas tienden a Ser alterado al mismo tiempo. En particular, una política de "tamaño mínimo" debe modificarse en: "al menos n caracteres excluyendo una copia del nombre de usuario, si corresponde ". Quiere que se mida "foobar42", para esta política, como una contraseña de longitud 2, no 8.
Esto también ilustra la creatividad de los usuarios humanos. Se esforzarán para evitar sus políticas si estas políticas les dificultan la vida. Para lograr una mayor seguridad, realmente necesita obtener el cooperación del usuario, lo que implica mucha pedagogía y herramientas de ayuda (en particular, debe proporcionar un generador de contraseña no obligatorio para los usuarios que quieran generar una buena contraseña - algunos la usarán).
Ok, agregar tu nombre de usuario a una contraseña segura que ya está decidida parece ser inocente. Pero:
Si alguien está buscando el movimiento de tus dedos, cuantas más teclas pulses, más posibilidades tendrás de interpretar correctamente el sonido, el movimiento y el tiempo entre pulsaciones.
Agregar caracteres inútiles ** mejorará la posibilidad de que ingreses una tecla incorrecta, lo que te obligará a volver a escribir la contraseña completa. Dando otra oportunidad para un mejor reconocimiento de movimiento.
** Dije inútil porque al agregar tu nombre de usuario, agrega como máximo 1 bit de entropía.
Muchos formularios de registro le impiden elegir una contraseña ...
Desafortunadamente, muchos formularios de registro no tienen idea de cómo distinguir las contraseñas buenas de las malas y crear restricciones casi arbitrarias, incluidas las realmente ridículas, como la longitud máxima de la contraseña, no poder utilizar caracteres especiales, etc.
Las contraseñas funcionan en términos de entropía , donde la verdadera entropía solo se puede observar sabiendo lo que fue el proceso de pensamiento mientras lo generaba (es por eso que los formularios no pueden simplemente medir la entropía y decirle al usuario que obtenga una mayor entropía). Esencialmente, si un atacante conoce el proceso de pensamiento y prueba las contraseñas aleatorias que usan el mismo proceso, la entropía nos dice cuánto demora hasta que el atacante intente la contraseña correspondiente.
Por ejemplo, si tengo una contraseña determinada y decido agregar un número, esto agrega un solo carácter y multiplica el espacio de la contraseña por 10 ('pwd' se convierte en pwd0, pwd1, pwd2, ...). Por otro lado, si tengo una contraseña determinada y decido agregar mi nombre de usuario o no agregarla, esto agrega varios caracteres y solo multiplica el espacio de la contraseña por 2, si el atacante conoce el nombre de usuario. Si utilizo el nombre de usuario como un prefijo, como un postfix, o no lo hago en absoluto, esto multiplica el espacio de la contraseña por 3, lo cual es mucho menos que agregar un solo dígito aleatorio.
Por lo tanto, hacer que su nombre de usuario sea parte de la contraseña es una contraseña más segura que no hacerlo, pero una contraseña (mucho) más débil que agregar casi cualquier otra cosa que no sea su nombre de usuario.
Lea otras preguntas en las etiquetas passwords password-policy