¿Los patrones aleatorios de repetición son más débiles que los patrones aleatorios de no repetición?

Navega tus respuestas
2

Lo que sería más difícil de descifrar: una contraseña compuesta por n caracteres seleccionados al azar o una contraseña compuesta por x caracteres seleccionados al azar repetidos m veces, de modo que m * x = n.

Por ejemplo: 

9*jtRf_ki&^tN4%^E3d^75HG

Como se opone a: 

u7I*u7I*u7I*u7I*u7I*u7I*

o: 

kL:@90kL:@90kL:@90kL:@90

Por lo que sé, ninguna de las palabras anteriores contiene palabras del diccionario y todas contienen una buena combinación de caracteres del teclado, es decir, el atacante intentaría usar mayúsculas, números, caracteres especiales, etc., por lo que deberían ser difíciles de descifrar. / p>

¿Por qué el ejemplo anterior podría ser más difícil de descifrar que cualquiera de los dos últimos?

La intención es poder proporcionar consejos sobre contraseñas que hagan que el ataque por fuerza bruta sea realmente difícil, pero proporciona una memoria visual / muscular fácil y humana.

Para el propósito de la pregunta, supongamos que el atacante viene ciego, no tienen conocimiento del patrón o si se usará un patrón y no hay ningún requisito de que una contraseña sea un patrón repetitivo, podría ser cualquier cosa. , aunque saben que se permite cualquier carácter y longitud para la contraseña.

    
pregunta Toni Leigh 14.06.2014 - 12:58
fuente

2 respuestas

3

Aquí está la línea # 950 del archivo /etc/john/john.conf, que contiene reglas para crear contraseñas a prueba: 

# Try strings of repeated characters.

Por lo tanto, diría que, sí, existe un mayor riesgo al elegir patrones repetidos para una contraseña, ya que algunas herramientas de cracking tienen esta posibilidad en cuenta.

Independientemente de eso, no recomendaría a las personas que lo hagan de todos modos; Si un atacante externo no sabe que la contraseña está formada por patrones repetidos, una persona interna de mi organización podría verse tentada a obtener acceso no autorizado a otra cuenta. O la información podría filtrarse de todas formas, y un atacante externo podría saberlo. Su primer ejemplo u7I*u7I*u7I*u7I*u7I*u7I* tiene solo cuatro bytes de entropía, es muy bajo.

Aún así, si tuvieras que elegir entre u7I*u7I*u7I*u7I*u7I*u7I* y u7I* , creo que la primera solución sería mejor, pero eso no es lo ideal.

¿Qué hay de sugerir a los usuarios que usen una herramienta de administración de contraseñas en su lugar?

    
respondido por el Qeole 14.06.2014 - 14:32
fuente
0

Mi respuesta corta es sí, repetir caracteres es mucho más fácil de descifrar que los caracteres totalmente aleatorios. Una herramienta de ataque por contraseña puede intentar repetir los caracteres mucho más rápido de lo que puede recorrer todas las posibilidades de los caracteres que no se repiten. Por ejemplo, si una contraseña de 8 caracteres consiste en un patrón de 4 letras minúsculas que se repite dos veces, habría: 26 ^ 4 posibilidades vs. 26 ^ 8. Si el atacante está buscando específicamente ese patrón, sería 26 ^ 4 veces más fácil descifrar la contraseña que se repite que una contraseña aleatoria. La otra respuesta publicada indica que las herramientas de ataque con contraseña ya están configuradas para buscar este tipo de patrón, por lo que sí, los patrones repetidos pueden debilitar mucho una contraseña.

    
respondido por el Jonathan 14.06.2014 - 16:47
fuente

Lea otras preguntas en las etiquetas

Autenticación a través de certificados digitales más firma ¿Cómo mitigo el cruce de directorios cuando la entrada suministrada por el usuario es un caso de negocio obligatorio?