¿El uso del alfabeto fonético de la OTAN aumenta la fortaleza de la contraseña?

1

Dada una contraseña alfanumérica que pretende ser fuerte pero fácil de recordar , cambiamos cada carácter alfabético por su alfabeto de la OTAN contraparte (por ejemplo, 'cat' se convierte en 'charliealphatango').

Entiendo que la fortaleza de la contraseña aumenta con la longitud, pero también soy consciente de que una contraseña generada por este método produciría una entropía mucho menor que una contraseña alfanumérica aleatoria de la misma longitud.

¿Cuánto aumenta la seguridad de la contraseña con este método, en todo caso?

    
pregunta Calculus Knight 31.10.2015 - 11:06
fuente

2 respuestas

4
  

Entiendo que la fortaleza de la contraseña aumenta con la longitud ....

La fuerza aumenta con la cantidad de información desconocida en la contraseña, que a menudo se correlaciona con la longitud de la contraseña. Pero en su esquema propuesto, obtiene una contraseña larga con muy poca información, al menos si el atacante ha detectado su esquema.

Ejemplo: simplifique su esquema aún más y deje que la contraseña solo conste de cantidades diferentes de "A", es decir, "AA", "AAAA", etc. Si el atacante conoce este esquema, la única información para adivinar es la longitud de La contraseña, que es una contraseña con 20 caracteres, no será realmente más difícil de descifrar que una contraseña con 10 caracteres.

Usted podría pensar que el atacante no conoce su esquema secreto (es decir, seguridad por oscuridad) pero en realidad la descifrado de contraseñas hoy en día ya no se hace con Brute forzando todas las variaciones. En su lugar, hay una gran cantidad de contraseñas descifradas que se utilizan como base para descifrar las contraseñas, es decir, se intentarán estas contraseñas y modificaciones. Por lo tanto, a menos que tenga una idea muy original, es muy probable que otros ya hayan tenido la misma idea y que esta idea también se haya integrado (o se vaya a obtener) en los crackers de contraseñas.

    
respondido por el Steffen Ullrich 31.10.2015 - 12:13
fuente
2

Esto funcionará hasta que su atacante encuentre una contraseña válida (por ejemplo, extraiga de la memoria una contraseña de texto sin formato, la capture en la red, etc.) o lea las pautas de la política de contraseñas. Después de eso, aplicará su método en sus listas de palabras y algoritmos de fuerza bruta y descifrará contraseñas con la misma eficiencia que antes.

    
respondido por el buherator 31.10.2015 - 11:10
fuente

Lea otras preguntas en las etiquetas