¿Cuál es la probabilidad de que un usuario elija una contraseña publicada?

Navega tus respuestas
2

Supongamos que tengo una lista grande (10 millones) de cuentas publicadas y contraseñas asociadas.

Supongamos que esta es una muestra representativa de la población de contraseñas de cuentas.

A partir de este ejemplo, puedo generar una distribución de contraseñas ordenadas de la más usada al menos.

Probablemente habrá una contraseña que se use más que cualquier otra y también habrá una gran cantidad de contraseñas usadas una vez (contraseñas únicas).

Decir que el número de contraseñas únicas es del 50%.

Por lo tanto, ¿puedo concluir que cuando un usuario inventa una contraseña, existe una probabilidad del 50% de que elija una contraseña única universal?

Si no, ¿qué puedo concluir?

    
pregunta philcolbourn 18.09.2018 - 12:54
fuente

3 respuestas

2

La respuesta variará enormemente dependiendo de los hábitos y la seguridad de la persona en cuestión. Sin embargo, podemos llegar a algunas conclusiones según el "tipo" de persona. Al menos, podemos si simplificamos a las personas en una de dos categorías:

Personas que usan computadoras para generar contraseñas verdaderamente aleatorias

también conocido como personas con "buena" conciencia de seguridad. Esto es facil. Ninguna de estas personas tendrá contraseñas en tu lista. Incluso con solo una cadena alfanumérica aleatoria de 8 dígitos (que ya no es una contraseña segura), hay ~ 2e14 combinaciones posibles de contraseñas, lo que significa que la probabilidad de encontrar una de esas contraseñas en una lista con 10 millones de contraseñas es de 1 en 5 millón. Mejor que ganar la lotería, pero sigue siendo bastante malo. Personalmente, utilizo contraseñas aleatorias de 16 caracteres (lo que probablemente sea bastante común), por lo que estamos analizando ~ 5e28 contraseñas posibles y, por lo tanto, pocas posibilidades de seleccionar una en su lista (suponiendo que su lista tenga 16 contraseñas de caracteres) it).

Personas que eligen sus propias contraseñas fáciles de recordar

Como es bien sabido, las personas tienden a reutilizar muchas contraseñas, y muchas personas las usan. Sin embargo, puede ser muy difícil calcular realmente la frecuencia con la que se usan las contraseñas particulares. Por ejemplo, los estudios de la mayoría de volcados de contraseñas encuentran que 123456 es la contraseña más común. Este artículo fija la frecuencia de esa contraseña en el 0.6%, pero como se explica en Ese artículo hay muchas advertencias. Mi propia lectura superficial de esta trama sugiere que las 25 contraseñas más comunes pueden dar cuenta de algo como el 10% de todas las contraseñas. Sin embargo, es difícil extrapolar eso a los 10 millones de contraseñas más importantes.

Sin embargo, como sugiere mi primer enlace, es probable que haya muchas advertencias. Por ejemplo, si le pide a alguien que elija una contraseña para su cuenta bancaria, es posible que se esfuercen más que 123456 . De hecho, existe cierta evidencia de que las personas están mejorando las contraseñas en los últimos tiempos, y muchos de estos conjuntos de datos se basan en fugas que tienen algunos años. Esos son solo dos de los muchos errores potenciales que hacen que sea difícil estimar con seguridad cuáles son las probabilidades de que la contraseña de algún usuario aleatorio esté en tu lista.

Una vez más, sin embargo, depende mucho de la persona. Si está hablando sobre el tipo de persona que elige 123456 para su contraseña, entonces hay un 100% de probabilidad de que su contraseña esté en su lista de 10 millones de contraseñas. Si está hablando de alguien que genera contraseñas aleatorias largas, es probable que haya un 0% de probabilidad de que su contraseña esté en su lista. Si estás hablando de alguien en el medio, quién sabe.

    
respondido por el Conor Mancone 18.09.2018 - 14:14
fuente
1

10 millones es una muestra bastante grande, por lo que si su fuente para esa muestra es confiable (es decir, el número de cuentas falsas, duplicadas o de robots, etc. es bajo), entonces debería poder sacar algún tipo de conclusión de eso. Sin embargo, tenga en cuenta el contexto: ¿son estos usuarios de security.stackexchange o usuarios de facebook?

Su conclusión parece bastante plausible, excepto por una cosa: las contraseñas no pueden ser "únicas" como en " utilizadas solo por una sola persona globalmente ", incluso si son únicas en su muestra. De nuevo, necesitarás un poco de contexto.

Si cambia su postulado de:

  

"Hay un 50% de probabilidad de que alguien elija una contraseña única"

A algo como:

  

"Hay un 50% de probabilidad de que alguien elija una contraseña utilizada con menos frecuencia que (frecuencia / número de usuarios)"

... entonces creo que podrías sacar alguna conclusión útil de ello.

¿Quizás alguien con una mayor comprensión de las estadísticas puede complementar (o contradecir) esto? Es una pregunta interesante.

    
respondido por el Kjartan 18.09.2018 - 13:30
fuente
1

Suponiendo que tiene una muestra aleatoria de todas las contraseñas (no, pero podría ser una buena aproximación), puede concluir que existe un 50% de probabilidad de que un usuario elija una contraseña utilizada con menos frecuencia que una diez millones.

Puede no concluir que existe un 50% de probabilidad de que un usuario elija una contraseña única global. Esa probabilidad es mucho, mucho menor. Después de todo, muchos de esos cinco millones de usuarios con contraseñas únicas en su conjunto podrían tener duplicados entre los miles de millones de contraseñas utilizadas en todo el mundo.

Piénselo de esta manera: si tiene un conjunto de diez contraseñas, todas diferentes, ¿podría concluir que todos los usuarios eligen contraseñas únicas a nivel mundial?

    
respondido por el Anders 18.09.2018 - 13:36
fuente

Lea otras preguntas en las etiquetas

¿Qué sucede con una bóveda de aprobación cuando la clave GPG caduca? ¿Cuál es la mejor manera práctica de proteger a nuestros administradores de TI?