¿Qué tan seguro es el cifrado de extremo a extremo con la contraseña de usuario?

Navega tus respuestas
2

Cuando se usa el cifrado simétrico, generalmente se genera una clave de al menos 256 bits. Eso corresponde a 32 bytes - > 32 caracteres (lo cual es bastante generoso, ya que la mayoría de los usuarios nunca usarán más de ~ 70 de los caracteres más comunes de los 256 en ascii).

¿Qué tan seguros pueden ser los servicios como Pushbullet que usan su contraseña para el cifrado? Incluso si no le roban su contraseña al cliente, ¿no debería ser bastante fácil forzar la clave en el servidor si es necesario?

    
pregunta user2486570 24.12.2016 - 18:54
fuente

1 respuesta

1

Sí, es más débil y tiene mayores riesgos

Si un servicio en segundo plano usa su contraseña como clave de cifrado, eso significa que tienen un acceso a pedido a su contraseña. Este es un riesgo mayor (usted lo mencionó también). No es infrecuente que las personas tengan la misma contraseña en varios servicios. Pushbullet en realidad no hace eso. Deriva una clave cuando ingresa su contraseña y la utiliza para su cifrado.

Si un sistema utiliza una cadena generada por el usuario como clave para su esquema de cifrado simétrico, entonces probablemente sería una clave más pequeña en comparación con una clave aleatoria de 256 bits. Las claves más pequeñas no solo tienen un espacio de búsqueda más pequeño para la fuerza bruta, sino que las claves generadas por el usuario también son susceptibles de otras formas de ataque como predecir la modificación o la misma clave que algunas claves filtradas.

    
respondido por el Limit 24.12.2016 - 19:17
fuente

Lea otras preguntas en las etiquetas

¿Se puede escuchar en un puerto específico de la máquina en la WLAN desde una máquina diferente? (usando arpspoof) Patrón de mejores prácticas para la sincronización de fondo del trabajador de servicio con protección CSRF