¿Permitiría contraseñas más cortas a veces sería más seguro?

Navega tus respuestas
19

¿El hecho de requerir ciertos criterios para las contraseñas hace que sean más fáciles de forzar?

Siempre me ha parecido que cuando los sitios web limitan el uso de contraseñas "inseguras", podría facilitar que las contraseñas sean forzadas de forma brutal porque elimina la necesidad de que los atacantes revisen cualquiera de esas contraseñas. El más básico de estos requisitos (y probablemente el más común) sería la necesidad de una contraseña de 8 caracteres o más. Se ha discutido en algunos otros temas:

El consenso general sobre esto es que requerir contraseñas más largas / más duras no necesariamente las hace más fáciles de descifrar porque la mayoría de las contraseñas que no permite no son contraseñas probables (porque la gran mayoría de las personas no utilizarían una cadena aleatoria de caracteres).

Sigo sintiendo que la mayoría de las personas probablemente están usando una contraseña de la longitud requerida o solo 1 o 2 caracteres por encima del límite. Suponiendo que solo se utilicen caracteres alfanuméricos, al requerir 8+ caracteres se eliminan alrededor de 3.5 billones de posibilidades de contraseña (la mayoría de ellas solo serían aleatorias). Esto deja ~ 13 cuatrillones de contraseñas que son 8-9 caracteres. Mi pregunta principal es: ¿Haría más que una diferencia insignificante en la seguridad que los sitios web solo tengan requisitos de contraseña a veces?

Ejemplo: Tal vez 1/100 intentos para crear una contraseña no tendrían que cumplir un cierto criterio, lo que requeriría que los atacantes prueben todas las contraseñas debido a la posibilidad de que la contraseña tenga menos de 8 caracteres

    
pregunta MisterEman22 19.08.2015 - 22:55
fuente

5 respuestas

56

Una pregunta relacionada que te perdiste en tu lista es esta:

¿Qué tan importante es mantener su ¿Contraseña secreta?

La respuesta aceptada allí (descargo de responsabilidad: el mío) muestra que si tiene un esquema de contraseña que permite los 95 caracteres ASCII imprimibles, el espacio clave se incrementa de manera increíblemente rápida cada vez que aumenta la longitud de la contraseña en 1. Puede verificar todas las contraseñas hasta la longitud N en aproximadamente el 1% del tiempo que le llevará comprobar solo las contraseñas de longitud N + 1. Al rechazar cualquier contraseña más corta que la longitud de corte, abandona mucho menos que el 1% de su espacio clave.

Por lo tanto, enérgicamente segundo @Iszi al decir

  

El beneficio obtenido al forzar una mayor longitud supera con creces el número de posibles contraseñas perdidas.

Siguiente punto: salgamos de la idea de que 8 caracteres son largos para una contraseña. No lo es. Dices "~ 13 mil billones de contraseñas" como si fuera un número grande. No lo es. De acuerdo a este artículo ( lo que es una gran lectura por cierto) su sistema de descifrado de contraseñas podría hacer 350 mil millones de conjeturas por segundo, por lo que cada una de sus ~ 13 trillones de contraseñas se puede descifrar una por una en aproximadamente 10 horas. Y eso es en el hardware de 2013, las GPU han subido mucho en potencia desde entonces.

Mi opinión es que los sitios web pueden discutir quién tiene los mejores requisitos de contraseña, pero son demasiado débiles . Nuestra capacidad para descifrar contraseñas está creciendo mucho más rápido que nuestra capacidad de recordar las más largas. Esto se debe a que la seguridad está chocando con la usabilidad. ¡Trate de decirle a alguien que no es un nerd de la tecnología que necesita memorizar una contraseña de 32 caracteres que no contenga palabras en inglés, y una diferente para cada cuenta que tengan! Te reirás y luego serás ignorado. Los sitios web que intentan imponer algo mejor que las políticas de contraseña patéticas tienen que lidiar con montañas de clientes enojados.

La solución es eliminar todas las contraseñas y avanzar hacia una autenticación de tipo de 2 factores, donde no es posible descifrar sin conexión. Desafortunadamente, las compañías solo han estado pensando seriamente en alternativas a las contraseñas por menos de una década y las ofertas están lejos de ser pulidas (están plagadas de problemas de conveniencia y usabilidad que impiden la adopción masiva), así que mientras tanto podemos continuar teniendo estos inútiles. debates que comparan un esquema de contraseña en su mayoría inútil contra otro. Finalizar opinión .

    
respondido por el Mike Ounsworth 19.08.2015 - 23:55
fuente
12

La respuesta está en tu pregunta.

  

Suponiendo que solo se utilizan caracteres alfanuméricos, al requerir 8+ caracteres se eliminan alrededor de 3.5 billones de posibilidades de contraseña (la mayoría de ellas solo serían aleatorias). Esto deja ~ 13 cuatrillones de contraseñas que tienen entre 8 y 9 caracteres.

El establecimiento de una longitud mínima, o incluso una longitud exacta, para las contraseñas obliga al usuario a elegir una contraseña que esté en un espacio de búsqueda varios órdenes de magnitud más grande que el número de contraseñas más débiles que tales requisitos invalidan .

Para ilustrar mejor esto, simplifiquemos y escribamos números enteros aquí. Suponiendo que todas las contraseñas de sólo alfabético en minúsculas, hay:

8031810176 de contraseñas posibles de longitud 7 o menos.
200795254400 de contraseñas posibles con longitud de exactamente 8.

Aumente el número de caracteres posibles, y el número de contraseñas perdidas se vuelve aún más insignificante en comparación con la complejidad que se aplica.

El beneficio obtenido al forzar una mayor longitud lejos supera el número de posibles contraseñas perdidas. Y las contraseñas que se eliminan representan un riesgo demasiado alto para ser permitido cuando se dispone de una contramedida tan simple y efectiva.

    
respondido por el Iszi 19.08.2015 - 23:12
fuente
3

No aplicar de manera uniforme una política de contraseña introduce riesgos de seguridad innecesarios y definitivamente no mejora la seguridad.

Permitir que existan contraseñas débiles solo mejora la probabilidad de que el atacante descifre un hash usando una lista de contraseñas comunes. Este problema se agrava a medida que aumenta el número de usuarios. Si 1/100 cuentas tienen una contraseña que no se ajusta a la política de contraseñas y existen 100,000 cuentas, 1000 cuentas tendrán contraseñas débiles.

Además, en realidad es más trabajo aplicar solo una política de forma selectiva solo para un subconjunto de usuarios de lo que sería aplicar la política a todos los usuarios porque la aplicación necesitaría una lógica específica para no aplicar la política bajo ciertas circunstancias. Es más fácil exigir una política de contraseña segura y aplicarla de manera uniforme a todas las cuentas.

    
respondido por el Justin Moore 19.08.2015 - 23:08
fuente
3

Esto no es una buena idea.

También me gustaría citar la pregunta:

  

Sigo sintiendo que la mayoría de las personas probablemente están usando una contraseña que tiene la longitud requerida o solo 1 o 2 caracteres por encima del límite.

De acuerdo ! Bueno, en realidad no asumo que la gente cree contraseñas de uno o dos caracteres si establece la longitud mínima en 0, pero la mayoría de sus usuarios no restringidos no crearán contraseñas largas. Así que un atacante ahora solo necesita probar las contraseñas cortas, la más común (como 'qwerty' y 'dragon') primero, para explotar a estas personas y tener más éxito que si hubiera aplicado la restricción completamente, ya que dice que hay órdenes de magnitudes menos contraseñas de menos de 8 caracteres que las anteriores.

Alternativamente uno puede continuar atacando la porción de usuarios a los que aún impuso la restricción de longitud mínima y huir con, en su ejemplo, el 99% del "botín" (consulte @Dennis Jaheruddin ' s comentario). En seguridad de contraseña, todo se trata de órdenes de magnitud, por lo que realmente no ayuda mucho, se compensa con un aumento del 1,01% (1/99) de la velocidad de craqueo. ( Dato curioso : Moore dice que eso se hizo en 8 días).

    
respondido por el Leif Willerts 20.08.2015 - 14:16
fuente
0

A veces, la protección con contraseña está mal codificada, como en la realización de NT LAN Manager (NTLM), por ejemplo. Si las palabras del diccionario o la secuencia ordenada predecible se usan en la contraseña: 7 símbolos es mejor que 8 o 9 10 o 11 o 12 o 13, porque la contraseña se divide en partes de 7 caracteres antes del hashing y el cifrado /

Busque detalles aquí: enlace

    
respondido por el Roscha Hacker 15.12.2016 - 07:33
fuente

Lea otras preguntas en las etiquetas

Defensa contra el teclado Keylogger Comparación de cadenas seguras de tiempo - Evitando fugas de longitud