Contrariamente a la respuesta aceptada originalmente, una frase de contraseña aleatoria de varias palabras no está sujeta a lo que generalmente queremos decir cuando decimos "ataque de diccionario" (eso es cuando simplemente lanza una gran lista de palabras a un hash, uno línea a la vez, tal vez con algunas reglas en juego). Un ataque tan simple no tendría efecto en una frase de contraseña de Diceware sólida. Su ejemplo anterior basado en Diceware de siete palabras, si se genera de forma aleatoria, se ubicaría aleatoriamente en un conjunto de posibilidades 1.7x10 ^ 27 (a menudo usamos "espacio de teclas" como abreviatura para esto).
Este espacio de teclas es aproximadamente el equivalente a una contraseña de 13 caracteres generada aleatoriamente a partir de todo el conjunto de caracteres ASCII imprimible de 95 caracteres. Incluso si el método de hashing de contraseñas era un hash muy rápido (como MD5), no se puede agotar una contraseña de 10 ^ 27 simplemente mediante el alquiler de algunas GPU (o algunas racks).
Si esto parece contraintuitivo, te animo a que hagas los cálculos. Si calcula cuánto tiempo tomaría agotar un espacio de 10 ^ 27, consulte esta excelente diatriba de Jeremi Gosney en Twitter : a menos que la NSA esté detrás de usted (en cuyo caso, no se molestarán con su frase de contraseña WPA2), cualquiera de estos métodos de contraseña es más que suficiente ... incluso si su contraseña se almacena usando un método muy rápido / hash malo como MD5 .
Pero en este caso, no estamos hablando de MD5. Estamos hablando de WPA2, por lo que las velocidades de craqueo son mucho más lentas, por ejemplo, del orden de 2.5 millones de hashes por segundo en una plataforma de 6x 1080 GPU. Eso puede sonar rápido, pero de nuevo, haz los cálculos. Incluso si asume las capacidades de un billón de contraseñas por segundo (grado de estado-nación, lo cual sería una tontería, como se señaló anteriormente) ... aún tomaría 10 ^ 27 / (1000000000000 * 60 * 60 * 24 * 365) o en el orden de 10 ^ 7 o 10,000,000 años para agotar completamente el espacio de teclas.
Su frase de contraseña de Diceware de siete palabras ni siquiera es débilmente vulnerable a un "ataque de diccionario". Literalmente, podría decirle a un cracker de contraseñas profesional con una sala llena de GPU exactamente qué diccionario usó, cuál es el separador, que todos están en minúsculas, y que hay siete palabras en la frase de contraseña ... y no lo serían capaz de romper ese WPA2 en tu vida.
E incluso si cometí tres errores importantes en esta matemática (lo cual es probable, ya que estoy escribiendo rápido) ... e incluso si cada uno de esos errores hace que mis matemáticas se deslicen en un orden de magnitud ... eso es < em> todavía 10,000 años .
Se considera que las contraseñas de Diceware son fuertes por una buena razón: la matemática no miente. (Y son geniales para WPA2 porque son fáciles de escribir en todos los extraños equipos inalámbricos que tienes en tu vida).