Si el atacante conoce parte de la contraseña pero no su longitud, ¿eso le ayuda de alguna manera?

Navega tus respuestas
2

La idea detrás de esto es que si conocer parte de la contraseña y no la longitud es inútil, las "contraseñas" se pueden almacenar fácilmente en texto claro o en papel, ya que solo agregaría su propio identificador de n caracteres y estará "seguro" .

Contraseña en el papel: dad458t5sdADSdkarh

Contraseña real: dad458t5sdADSdkarh PC

Sub pregunta: ¿Importa la posición de su propio identificador?

dad458t5sdADSdkarh PC

dad458t5sPC dADSdkarh

PC dad458t5sdADSdkarh

Sub pregunta # 2: ¿Importa la longitud del identificador personal? El significado es incluso 1 carácter suficiente (con la línea de base lo suficientemente larga).

    
pregunta DaveNew 25.07.2012 - 00:39
fuente

4 respuestas

6

Esto funcionaría como un esquema personal para mantener las contraseñas largas en papel. Si trabajas en un sistema y lo aplicas a tus contraseñas largas, pero no le digas a nadie más, sería una Forma efectiva de seguridad por oscuridad. Un atacante que encuentre su lista de contraseñas podría probar la contraseña escrita, entonces quizás si era muy emprendedor podría probar variaciones en las contraseñas escritas, transposiciones, subsecuencias, etc., pero sus posibilidades de encontrar su transformación exacta serían realmente muy bajas. / p>

Sin embargo, un atacante podría obtener acceso a su lista de contraseñas y a una o más de sus contraseñas reales. El atacante podría entonces observar la relación entre algunas contraseñas en su lista escrita y las que conoce en su totalidad, y luego saber exactamente cuánto espacio tenía para usar la fuerza bruta para obtener las contraseñas reales de las escritas. En este caso, la fuerza de su contraseña efectiva se reduce a la fuerza de la cadena insertada.

En la práctica, muchas personas usan esquemas como este para sus contraseñas más importantes y más largas, cambiando algunos caracteres de forma algorítmica, pero sin duda, luego escribiendo la contraseña transformada. Esto lo protege muy bien contra el escenario común de un robo de casa que produce un pedazo de papel con 'CitiBank: Inicio de sesión: xxx Contraseña: yyy' escrito en él, pero no se usaría para nada de manera sistemática, por todas las razones habituales dadas contra la seguridad por la oscuridad.

    
respondido por el jimw 25.07.2012 - 02:54
fuente
3

Conocer parte de una contraseña seguramente lo hará más fácil, desde una perspectiva matemática / teórica, incluso si no sabes la longitud. Básicamente, puede considerar todo el segmento de la contraseña que se sabe que es un solo carácter que el pirata informático conoce.

Por ejemplo, considere una contraseña de 10 dígitos que acepte solo 0-9 como entrada (por el bien del argumento). Esta contraseña tendrá 10 ^ 10 respuestas posibles. Considerando que, si sabemos que uno es un 1, hay 10 * (9 ^ 10) (que es diez veces nueve subido a los diez), por lo que yo entiendo. Por favor corrígeme si estoy equivocado.

Edit: Estaba equivocado. En realidad, hay s ^ l contraseñas posibles, donde s = el número de símbolos y l = la longitud de la contraseña. Esto es para una contraseña de longitud fija, pero por el bien del argumento, lo usaré de todos modos (si es una longitud variable, entonces es ^ 1 + s ^ 2 + ... + s ^ l donde l es la longitud máxima ). La razón por la que es s ^ l es porque para cada posición hay s símbolos diferentes que podrían estar allí. s * s * s ... * s (es decir, s times s, times s, times s ...., times s) l times es el número total de combinaciones posibles para cada longitud l.

Vuelva al ejemplo, si uno de los personajes es conocido, pero no conoce la posición, en realidad son solo 10 ^ 9 intentos diferentes, porque hay efectivamente solo 9 posiciones. ¡Porque siempre sabes lo que hay en el restante!

tl; dr esto definitivamente lo hace más fácil desde una perspectiva de adivinación: si conoces una parte de la contraseña, eliminas una gran parte de las conjeturas.

    
respondido por el rofls 25.07.2012 - 02:56
fuente
0

En la práctica, cualquiera de sus opciones sería lo suficientemente válida y segura.

Suponiendo:

  • La contraseña aleatoria en papel no está disponible para un gran número de personas (es decir, en Internet)
  • La gran cantidad de personas o aplicaciones no utilizan el esquema de contraseña.
  • Que no está intentando asegurar contenidos de alto valor.
  • Que tu texto privado es aleatorio y de 4 caracteres o más.

Pero para aclarar los detalles:

  • La ubicación variable / desconocida para el texto privado aumenta la entropía / seguridad / resistencia al forzamiento bruto.
  • La fuerza bruta con un prefijo conocido sería una fuerza bruta fácil, especialmente si el texto privado es corto (suponiendo que el atacante tiene el hash de la contraseña).
  • El tipo de ataque es muy importante: si se filtran las contraseñas con hash es diferente a los intentos de contraseña remota.

Mejoras adicionales:

  • Asegúrese de que ambas partes (privada y en papel) sean aleatorias.
  • Use la ubicación variable / desconocida para texto privado.
  • O use otro esquema basado en Steve Gibsons Haystacks de contraseñas o Off The Grid .
respondido por el Andrew Russell 25.07.2012 - 03:07
fuente
0

Si la contraseña es dad458t5sdADSdkarh PC y el atacante ya sabe dad458t5sdADSdkarh significaría que el proceso de fuerza bruta sería mucho más corto porque solo quedan 3 caracteres. En una fuerza bruta exitosa, se le notificaría de inmediato por la herramienta que usa.

    
respondido por el Kreshnik Hasanaj 25.07.2012 - 11:43
fuente

Lea otras preguntas en las etiquetas

¿Cómo la aplicación móvil WiFiKill puede cortar el acceso a Internet a los dispositivos vecinos? Responder a la solicitud de protocolo de enlace SSL con una respuesta 302