Ya que no forzarán una contraseña de 19 caracteres, Me preguntaba si el diccionario del atacante está ordenado por frecuencia. ¿Podrían estas contraseñas tener aproximadamente la misma fuerza?
carp ably feud whir
mailless larksome blameful girasols
No. Si está utilizando frases de contraseña de múltiples palabras (estilo dadosware) compuestas de palabras reales, la longitud de cada palabra no importa.
Si asume que el atacante está al tanto del método que utilizó para generar sus contraseñas (lo que debería, según el principio de Kerckhoffs), entonces puede esperar que el atacante intente descifrar su contraseña con un diccionario de ataque y, por lo tanto, la palabra la longitud es irrelevante; solo importa el número de palabras y el tamaño del diccionario que seleccionó al azar.
Si asumes que el atacante no está al tanto de tu esquema y solo está usando fuerza bruta, entonces puedes esperar que el atacante tome muchos órdenes de magnitud más de lo que lo haría con un diccionario. Por lo tanto, como su contraseña está diseñada para resistir un ataque de diccionario, es también segura contra la fuerza bruta.
Para hacerlo más concreto, asumiendo que eligió "carpa ferozmente feudamente" al azar de un diccionario de software de 7776 palabras, el atacante debe probar un promedio de 7776 4 / 2 ~ = 1.83 cuadrillones de contraseñas antes de romperlo Si, en cambio, el atacante usara una fuerza bruta de letras minúsculas y espacios, esperaría que este mismo ataque tomara (26 + 1) 19 / 2 ~ = 786 mil millones de trillones de intentos en promedio. Como 786 billones de billones es mayor que 1.83 cuatrillones, puede concluir con seguridad que no vale la pena preocuparse por el ataque de fuerza bruta, ya que el ataque de diccionario es una amenaza mucho más significativa, y por lo tanto, la longitud de cada palabra no importa. / p>
Lea otras preguntas en las etiquetas passwords passphrase