Según esto , una contraseña como dinwryran es seguro contra un ataque de fuerza bruta. ¿Es esto cierto? Si no, ¿por qué?
Tendría que estar en desacuerdo con que su afirmación de tres palabras de tres letras es segura. En su artículo dice:
Entonces - 500 x 500 x 500 = 125,000,000 (ciento veinticinco millones de posibilidades).
Tal vez eso no parezca mucho, pero si pudieras revisar 20 de ellos cada segundo, las 24 horas del día, ¡necesitarías aproximadamente 60 días para superarlos todos!
En primer lugar, las herramientas de descifrado de contraseñas y la combinación de hardware pueden rajar mucho más de 20 por segundo, especialmente si la lista de combinaciones se genera previamente. Además de eso, si se recupera un hash de estas contraseñas, se puede realizar un ataque de desconexión sin conexión, lo que significa que el atacante tiene todo el tiempo del mundo para intentar descifrarlas y, si en realidad tomó 60 días, un criminal motivado eso no es nada.
El hecho simple es que 9 caracteres alfabéticos son demasiado cortos en la actualidad.
12 caracteres lo hacen más difícil, pero usar solo alfabéticamente no es lo mejor.
Al final del día, me gusta usar un administrador de contraseñas y generar una contraseña única de más de 20 caracteres con caracteres alfanuméricos, caracteres especiales y mayúsculas y minúsculas.
Estoy de acuerdo con todo lo que @ nd510 dijo en su respuesta: 9 caracteres alfabéticos no es suficiente entropía para ser seguro, y también uso un administrador de contraseñas para crear contraseñas únicas con una combinación de casos, números y símbolos.
Quiero agregar, sin embargo, que las contraseñas como dinwryran pueden ser resistentes a los ataques de fuerza bruta en la situación específica donde el atacante no conoce su método de generación de contraseñas. Esto es seguridad a través de la ofuscación, y no es sabio. Te lo explicaré.
Si el atacante no sabe que está usando 9 caracteres alfabéticos para sus contraseñas, entonces su método de fuerza bruta no generaría solo 9 caracteres alfabéticos, sino que incluiría todos los caracteres alfanuméricos y especiales de cualquier longitud. Debido a que dinwryran no está en los diccionarios de contraseñas comunes, un diccionario normal o un ataque de arco iris no funcionaría en él, y por lo tanto el atacante se vería obligado a ejercer fuerza bruta. Si el atacante no sabe que su contraseña tiene 9 caracteres alfabéticos, es poco probable que el ataque tenga éxito.
Dicho esto, la seguridad a través de la ofuscación no es seguridad en absoluto; el uso de contraseñas como dinwryran solo es seguro cuando (a) el atacante no conoce su método de creación de contraseñas y (b) el sistema acepta contraseñas que son mucho más largas y contienen caracteres. dinwryran solo es seguro debido a la ignorancia del atacante, no a la complejidad computacional.
Por otra parte, el método de generación de contraseñas de my y nd510 no es menos seguro porque el atacante sabe cómo se generaron las contraseñas, y son computacionalmente seguros.
No dinwryran no es seguro. Puede probar usando cualquiera de los medidores de fuerza modernos, como zxcvbn o el que se construyó utilizando una red neuronal .
En pocas palabras, las contraseñas por debajo de 10 caracteres rara vez son seguras de usar. Como sugirió @ nd510: use el administrador de contraseñas y genere cadenas alfanuméricas aleatorias. Usted prueba la diferencia en el enlace del sitio web que le di arriba.
Lea otras preguntas en las etiquetas passwords brute-force account-security passphrase