¿Una contraseña de Diceware multilingüe sería más segura que una monolingüe? [duplicar]

2

Recientemente he estado leyendo sobre Diceware, y me pregunto si usar una combinación de idiomas lo haría aún más seguro. A primera vista, obligaría a un atacante potencial a considerar un espacio de búsqueda aún mayor, incluso si saben que usted habla, por ejemplo. Ingles y frances. Usar aún más idiomas aumentaría aún más el espacio de búsqueda.

El problema principal que puedo ver es la usabilidad. ¿Sería esto más difícil de recordar que una frase de contraseña monolingüe, y la dificultad de recordar su frase de contraseña dependerá de su nivel de fluidez en ese idioma?

    
pregunta Philip Rowlands 02.03.2016 - 11:01
fuente

2 respuestas

1

El uso de diferentes idiomas en conjunto aumentaría la entropía, sin embargo, eso anularía el objetivo principal de Diceware, que es fácil de recordar frases de contraseña (que también son seguras).

Cada palabra de Diceware agrega ~ 12.9 bits de entropía. La recomendación del NIST para contraseñas seguras es utilizar al menos 80 bits de entropía. Por lo tanto, sería mucho más fácil simplemente usar 7 palabras diferentes de la lista de palabras de Diceware y tener la misma seguridad.

Como guía, tomaría a un atacante determinado 109,527.95 años para ejecutar todo el espacio de teclas de una contraseña de 80 bits. , lo que daría un tiempo de craqueo promedio de 54,763.975 años.

    
respondido por el SilverlightFox 02.03.2016 - 11:36
fuente
0

No lo creo.

Según tengo entendido, una lista de diceware es una lista de 6 ^ 5 palabras únicas. Las palabras pueden estar en cualquier idioma. Asumimos que el atacante conoce la lista de dicware. Tiramos los dados 5 veces y usamos el resultado para elegir qué palabra.

Si estás hablando de usar 2 listas de software de dados (por ejemplo, un inglés y un francés) para generar una contraseña de dos palabras (por ejemplo, "hola bonjour", esto aumentará la entropía. Pero, ¿cómo aumentaría la entropía arriba? ¿Usando 2 listas de juegos de dados en inglés?

Recuerde que el análisis estándar del software de dados supone que el atacante conoce las listas de palabras.

    
respondido por el emory 02.03.2016 - 11:16
fuente

Lea otras preguntas en las etiquetas