¿La prevención de caracteres consecutivos en una contraseña realmente aumenta la seguridad?

1

A veces trato de usar una contraseña que puedo recordar fácilmente pero que es difícil de adivinar para una computadora. Por ejemplo (este no es mi método), puede consistir en 2 palabras, seguidas de una serie de caracteres especiales repetidos, seguidas de una palabra. Esta contraseña es llamada "débil" por Apple y no me permite usarla 'debido a caracteres consecutivos'. Tiene 20 caracteres largos y difíciles de adivinar, ¿qué lo hace débil?

    
pregunta N West 13.10.2016 - 22:30
fuente

3 respuestas

6

La prevención de caracteres consecutivos reduce la seguridad. Es un intento de evitar contraseñas sencillas de adivinar, como 00000000 , y evitar que las personas rellenen contraseñas débiles para cumplir con las longitudes mínimas, por ejemplo. %código%. Sin embargo, también evita el uso de una amplia gama de contraseñas seguras.

Al mantener solo las contraseñas en minúscula de ocho caracteres para simplificar el análisis, hay 208,827,064,576 contraseñas posibles. Aproximadamente 56,000,000,000 de esas contraseñas contienen caracteres idénticos consecutivos, por lo que en un intento por evitar el uso de contraseñas débiles, redujo la complejidad de un ataque de fuerza bruta en aproximadamente un cuarto.

    
respondido por el Mark 13.10.2016 - 23:39
fuente
3

Sí y no.

No

El "no" es obvio. Cualquier cosa que limite los tipos de contraseñas que puede crear reduce el espacio de búsqueda. Otros han mostrado las matemáticas en eso.

La parte "sí" es más sutil, y ya no estoy seguro de que sea cierta, ya que no he visto ninguna investigación reciente sobre esto.

Las contraseñas que cumplen con las "reglas de complejidad" no son inherentemente más seguras que las contraseñas que no lo hacen. Y, de hecho, hay un sentido muy real en el que las reglas de complejidad debilitan las contraseñas. Pero cuando les pedimos a las personas que cumplan con las reglas de complejidad, tienden a generar mejores contraseñas.

Entonces, el valor de estos requisitos tiene que ver con la psicología y el comportamiento humano. Si establece ciertas "reglas de complejidad", es más probable que obtenga una mejor creación de contraseña.

Un caso simple

Como se señala en su totalidad, cualquier cosa que reduzca el conjunto de contraseñas que las personas pueden crear hará que el sistema sea más débil. Pero ahora considera las siguientes dos políticas

Política 1: las contraseñas pueden ser de cualquier secuencia de 8 a 24 caracteres y consisten en el carácter imprimible de US-ASCII.

Política 2: igual que la política 1 excepto que las contraseñas pueden no estar entre una lista de las 10,000 contraseñas más comunes.

Tenga en cuenta que la política 2 define un subconjunto adecuado del conjunto definido por la política 1 y, por lo tanto, es más débil en cierto sentido. Pero espero que la mayoría de la gente esté de acuerdo en que la política 2 es mucho más probable que produzca contraseñas más seguras que la política 1.

Resolviendo la paradoja

Puede parecer paradójico que restringir el conjunto de contraseñas que pueden usarse tendería a aumentar la seguridad de la contraseña creada, pero la clave para resolver la paradoja es reconocer que no solo es la cantidad de contraseñas que pueden Ser generado por un sistema que importa, pero la distribución de los mismos.

Si fuera tan probable que se eligiera una contraseña "legal" como cualquier otra, entonces restringir el conjunto sería perjudicial. Pero sabemos que algunas contraseñas son mucho más comúnmente elegidas que otras. La distribución de contraseñas elegidas por los humanos está muy lejos de ser uniforme. (Superficialmente, puede parecer que sigue una distribución de ley de poder, pero no lo hace en análisis más detallado .

Pero las contraseñas elegidas por los humanos siguen una distribución muy "tonta", incluso si no es una distribución de ley de poder. Si encontramos que imponer algunas restricciones aplanan la distribución (acérquese a la uniformidad), entonces la ganancia de hacerlo a menudo superará la pequeña reducción del conjunto de contraseñas permitidas.

Pero hay otros problemas con las reglas

Creo que cuando se introdujeron algunas de estas reglas por primera vez, tuvieron éxito en su objetivo. Ellos aplanaron sustancialmente la distribución de contraseñas creadas por humanos. Estoy menos seguro de que tengan éxito con esto hoy, y por eso me gustaría ver investigaciones sobre esto. Dado que esto supone una carga importante para los usuarios, no es algo que debamos infligirles a menos que los beneficios sean lo suficientemente grandes y claros para que valga la pena.

Estas reglas han llevado a muchas personas a entender mal lo que hace que una contraseña sea fuerte o débil. Consulte "Agregué '!' al final para hacerlo seguro ". Sabemos que añadiendo un "!" no hace que una contraseña sea más segura, pero durante muchos años se ha dicho a las personas que ese es el tipo de cosas que deben hacer para elegir una contraseña segura. Así que no podemos culpar a nadie por llegar a esa conclusión.

También sospecho que varios administradores de TI no entienden los motivos de estas reglas de complejidad de contraseña. Es decir, no solo los usuarios finales han sido engañados a lo largo de los años, sino también las personas que deberían saber más. Debido a esto, es poco probable que vuelvan a evaluar estas reglas de décadas observando lo que son (y no se supone que deben hacer).

He comparado la adherencia del administrador de TI a las reglas de complejidad de las contraseñas como un "culto a la carga". Han llegado a creer que las reglas y las costumbres son vitales para la seguridad, pero no entienden cómo y por lo tanto juzgan mal cuando deben abandonarse esas reglas.

    
respondido por el Jeffrey Goldberg 14.10.2016 - 04:15
fuente
2
  

Apple dice que esta contraseña es "débil" y no me permitirá usarla 'debido a caracteres consecutivos'.

Piense en términos de probabilidad: si se examinó un usuario seleccionado al azar que propuso una contraseña con muchos caracteres idénticos consecutivos, es más probable que estén usando una contraseña como la que usted describe, o una como aaaaaa1! ?

Entonces, sí, es una regla molesta, pero el hecho de que evite que alguien como usted use las contraseñas que usted describe no es, por sí solo, una marca negra en su contra. El argumento que debe presentar, y uno que creo que probablemente sea correcto, es que la regla es inefectiva porque la mayoría de los usuarios que la ejecutan terminan eligiendo una contraseña incorrecta de todos modos .

  

Son 20 caracteres largos y difíciles de adivinar, ¿qué lo hace débil?

La forma en que describe su hipotético esquema de contraseña, no contiene nada que nos permita de manera confiable cuantificar su fuerza. Así que me gustaría cambiar tu pregunta: ¿qué hace que tus contraseñas sean sólidas y, lo que es más importante, cuánto ?

Informalmente, los crackers de contraseñas tienen dos estrategias a su disposición:

  1. Formule teorías sobre qué contraseñas son más probables y cuáles no, y adivine las contraseñas más probables antes que las improbables.
    • Los ataques de diccionario son la forma más famosa de esto.
  2. Pruebe sus conjeturas de contraseña a velocidades muy altas.

Entonces, para medir la fortaleza de una contraseña, un método decente sería diseñar un modelo similar al número 1 del atacante y estimar cuántas conjeturas haría un atacante antes de probar esa contraseña. Algunas herramientas intentan hacer esto, por ejemplo, el medidor de fuerza de la contraseña de zxcvb ( demostración en línea con ejemplos ).

Pero los métodos como estos tienen un problema, y es que confían en que el defensor no sea superado por el atacante. Una mejor solución es tener en cuenta que las dos estrategias del atacante tienen un contador muy simple:

  • Elija contraseñas con igual probabilidad de un conjunto lo suficientemente grande .
    1. La probabilidad igual significa que no hay contraseñas probables para que el atacante intente primero.
    2. Un conjunto grande significa que el atacante tiene que adivinar un número prohibitivo de contraseñas antes de que tengan éxito.

Y las mejores estrategias de generación de contraseñas se basan en esto:

  1. Los administradores de contraseñas usan generadores de números aleatorios criptográficos para generar contraseñas aleatorias para usted y almacenan las contraseñas generadas en una base de datos para que no tenga que recordarlas.
  2. Diceware selecciona frases de acceso aleatorias y uniformes con un generador de números aleatorios auditable y barato: tiradas de dados.

Por lo tanto, la versión corta: no se confíe demasiado acerca de la fortaleza de su esquema de generación de contraseña de homebrew. Elija una contraseña maestra memorable con algún método que implique lanzar dados o similar, y genere el resto de sus contraseñas con un administrador de contraseñas.

    
respondido por el Luis Casillas 14.10.2016 - 00:12
fuente

Lea otras preguntas en las etiquetas