¿La fuerza de la frase de contraseña aumenta con esta estrategia?

2

He estado leyendo un poco acerca de la fuerza y la debilidad de las frases de contraseña. Tomaré esta respuesta como ejemplo.

TTT dice, entre los otros puntos:

  

Aunque hay cientos de miles de palabras en el idioma inglés, (probablemente) solo necesitamos probar frases de contraseña de uso de la palabra clave utilizando el conjunto de palabras más comunes. Asumiremos que hay 3000 palabras en ese conjunto.

Llevando a una entropía (¿correcto?) de

  

3000 ^ 7 = 2.2 * 10 ^ 24

Esto hace la suposición (generalmente comprensible) de que la frase de contraseña estará en inglés.

Mi pregunta es: eliminar esa suposición, es decir, que cada palabra es de un idioma diferente, y que no necesariamente necesito hablar ese idioma para recordar cómo deletrear una (o dos) palabra (s) [*], ¿Cómo se podría calcular la entropía de tal frase de contraseña y estimar si la fuerza de la frase de contraseña se beneficia?

[*]: esto es para eliminar el posible inconveniente de reducir el espacio de idiomas al conocer el objetivo, es decir: "Sé que solo hablan inglés y español, por lo que la frase de contraseña solo puede contener esos dos idiomas"

    
pregunta Federico 31.07.2018 - 12:29
fuente

2 respuestas

2

Consulte Principio de Kerckhoffs / Máxima de Shannon . Es muy difícil estimar con precisión si un atacante sabrá o adivinará la lista de palabras que usa, por lo que para obtener un límite inferior preciso en la entropía de la frase de contraseña, simplemente se supone que saben exactamente cómo creó la frase de contraseña.

Si asumimos que saben que estás creando una frase de contraseña al elegir palabras al azar de una lista, y que conocen esa lista, está claro que no es realmente importante incluir palabras de diferentes idiomas. Lo que importa es el tamaño de la lista y cuántas palabras le quitas al azar. Una lista de 2,000 palabras en inglés y 2,000 palabras en español resultarán en frases de contraseña de la misma fuerza que una lista de 4,000 palabras en inglés.

Podría ser que, en la práctica, esto haga que sea más difícil para el atacante, pero es difícil decir cuánto. Usar palabras de varios idiomas es una de las ideas más comunes para "fortalecer" las frases de contraseña, por lo que también puede ser que no logre mucho de nada. Es más útil saber que "tomará un atacante al menos X adivina tener un% de probabilidad de encontrar mi frase de contraseña" que "Creo que esta frase de contraseña es bastante fuerte ".

    
respondido por el AndrolGenhald 31.07.2018 - 16:55
fuente
0

Las frases de contraseña, como las contraseñas, requieren una fuerza que coincida con lo que está tratando de proteger. Lo ideal es que calcules la entropía y tengas algún conocimiento de los posibles ataques de fuerza bruta / adivinación. Por ejemplo, en keypass con una función de derivación de clave basada en contraseña decente, puede usar contraseñas moderadamente seguras. En una aplicación web que usa md5 y tiene su base de datos descargada, necesitarás mucha más entropía.

Si saca 5 palabras aleatorias de todos los idiomas (por ejemplo, 100 000 palabras). Necesitará 100 000 ^ 5 conjeturas. Si eligió 5 palabras de 3000 palabras en inglés, solo terminará con 3000 ^ 5 conjeturas.

Si agrega mayúsculas y l33tspeak allí, la complejidad aumenta aún más. Troy Hunt tiene algunos blogs muy buenos sobre este tema.

    
respondido por el Silver 31.07.2018 - 16:44
fuente

Lea otras preguntas en las etiquetas