La teoría del pajar es la recomendación de poner caracteres repetidos en tu contraseña para que sea más difícil revelar la fuerza bruta.
¿Esto tiene alguna base matemática? ¿O es aceite de serpiente?
La teoría del pajar es la recomendación de poner caracteres repetidos en tu contraseña para que sea más difícil revelar la fuerza bruta.
¿Esto tiene alguna base matemática? ¿O es aceite de serpiente?
El "pajar" es solo una forma metafórica de describir la fuerza bruta. La idea de "caracteres repetidos" en las contraseñas es mala.
Todo el juego de contraseñas es que el defensor (es decir, el usuario) sacará su contraseña de un "conjunto de contraseñas potenciales", y el atacante recorrerá este conjunto hasta que encuentre la correcta. Los conjuntos más grandes implican más trabajo para el atacante, pero también para el defensor porque hay más opciones para recordar.
Si los usuarios fueran robots, entonces los "caracteres repetidos" serían una idea tan buena como cualquier otra cosa: como el amor, la entropía es ciega, y no le importa cómo logre el conjunto de contraseñas posibles siempre que haya suficientes. Sin embargo, si los usuarios fueran robots, usarían claves aleatorias de 128 bits como "contraseñas" y toda la discusión sería discutible. En la práctica, los usuarios humanos son humanos y esto implica que los cerebros humanos tendrán que recordar. El punto aquí es que los "recursos de memoria" gastados en recordar una característica de contraseña específica no se comparan en absoluto con un número fijo de bits de entropía adicionales.
Si toma una contraseña como "palabra normal" y luego dobla una letra (por ejemplo, "contraseña"), entonces el esfuerzo necesario para recordar que esta letra específica se duplica es bastante grande en comparación con la ganancia real (para un 8- de la fuente de caracteres, obtiene 3 bits de entropía de la elección de la letra para duplicar, de hecho, un poco menos porque muchas personas elegirían duplicar la "o", porque "Google", no "goggle"). Esa es toda la idea detrás del famoso cómic que se discutió en esta pregunta : para obtener la mayor parte de la entropía de una contraseña recordada por el hombre, debe generar contraseñas de manera que se adapten bien a las mejores capacidades del cerebro humano. Los humanos son muy buenos para hablar y están altamente capacitados para leer y escribir (a través de años de trabajo), por lo que debería utilizar palabras para las contraseñas . La mayoría de los trucos de "mejora de contraseñas", como los dígitos y signos de puntuación o, para el caso que nos ocupa, repetir letras, están en desacuerdo con la mente. Por lo tanto, son contraproducentes.
En menos palabras: en lugar de duplicar una letra, agregue otra palabra. Este será un uso mucho mejor de sus células cerebrales: le dará más seguridad con menos esfuerzo.
Todos los ataques de contraseña de fuerza bruta consisten en iterar a través de todos los elementos en un diccionario de contraseña. Por lo tanto, para protegerse, debe (a) asegurarse de que la contraseña que está utilizando no esté en el diccionario del atacante, y (b) cualquier diccionario que tenga contenga su contraseña es demasiado largo para obtener a través de.
Los diccionarios más efectivos (y por lo tanto comunes) son solo listas de contraseñas comunes, por lo que usar contraseñas comunes es una mala idea. Luego venga una lista de palabras encontradas en la escritura común, más combinaciones y variaciones de esas palabras (agregue números y puntuación, etc.), luego cada combinación de letras comienza en la más corta y luego avanza hasta la más larga.
Lea otras preguntas en las etiquetas encryption