¿Escribir mi contraseña dos veces la hará más segura? ¿O escribiendo cada personaje dos veces?

Question

¿Escribir mi contraseña dos veces la hará más segura? ¿O escribiendo cada personaje dos veces?

#1 de Anti-weakpasswords (101 votos)
#2 de Mike Ounsworth (63 votos)
#3 de Tom Leek (22 votos)
#4 de Dewi Morgan (15 votos)
#5 de user1751825 (5 votos)
#6 de Evan Steinbrenner (3 votos)
#7 de SethWhite (3 votos)
#8 de user98946 (1 votos)
#9 de user98942 (0 votos)
#10 de silentcallz (0 votos)
#11 de hdunn (-2 votos)

74

Si escribo mi contraseña dos veces (como: PwdThingPwdThing ), O escribe cada carácter dos veces (como: PPwwddTThhiinngg ) eso lo hará sustancialmente más seguro de lo que ya es?

Suponga que ya tiene 8 o 9 caracteres, que constan de mayúsculas y minúsculas, dígitos y uno o más caracteres especiales.

(Supongamos también que no le dije a nadie que lo estoy haciendo de esta manera, aunque acabo de decirle al mundo ... ¡Doh!)

Lo pregunto porque me gustaría tener más seguridad de una manera que aún pueda recordar, y esto sería un cambio fácil de hacer y recordar. Gracias.

passwords

pregunta Anti-weakpasswords 01.02.2016 - 18:40

fuente

11 respuestas

63

Security.StackExchange está lleno de preguntas que proponen estrategias de contraseña "caseras". La respuesta corta es siempre la misma: hacer algo para diferenciar su contraseña de los ataques del diccionario estándar es bueno, siempre y cuando

Muy pocas personas en el planeta también están usando su estrategia. Si su estrategia "casera" resulta ser común, como reemplazar 'a' con '@', entonces se incluirá en los ataques de diccionario estándar y volverá al punto de partida.
No estás siendo apuntado personalmente. Si tienes un objetivo de alto valor que los atacantes intentan específicamente romper tu , entonces cualquier patrón que uses es una responsabilidad porque una vez que conocen tu patrón (por ejemplo, de tus contraseñas filtradas de filtraciones anteriores) ) entonces construirán diccionarios basados en su patrón.

Otra tendencia con este tipo de pregunta aquí en infosec, es que alguien inevitablemente hace referencia a XKCD , así que aquí va. Recuerde que las computadoras son buenas para buscar en bases de datos y generar listas basadas en patrones. Al utilizar una estrategia simple como "duplicar cada letra" o " las iniciales del coro de mi canción favorita " , etc., está utilizando una estrategia que es fácil de adivinar para las computadoras. La mejor práctica para crear una estrategia de contraseña simple es siempre: no . Use un administrador de contraseñas como LastPass para generar y recordar una contraseña aleatoria de 32 caracteres para usted. Si insiste en tener algo que pueda memorizar, la siguiente mejor práctica es diceware .

Si desea desafiar todas las mejores prácticas e inventar su propio esquema, le recomendaría algo basado en emociones en lugar de patrones, o algo que pueda extraerse de su información personal. Por ejemplo, una contraseña basada en "sitios web que me gustan" o "programas de televisión que veo" sería fácil de adivinar para cualquier persona con acceso a su actividad en Internet, pero "cosas que me recuerdan a

respondido por el Mike Ounsworth 01.02.2016 - 18:56

fuente

22

En general, no, duplicar la contraseña no aumenta (o disminuye) sustancialmente su seguridad. Lo que duplica es tu esfuerzo de mecanografía. Duplicar su contraseña puede disminuir su seguridad si le incita a elegir una contraseña de base más corta / fácil para que su esfuerzo de escritura no sea demasiado engorroso.

En términos generales, la seguridad de la contraseña proviene de su aleatoriedad, es decir, cuánto desconoce el atacante. En el caso de "duplicar", esta es una información de un bit (es decir, si la aplicó o no), por lo que, matemáticamente hablando, es un bit adicional de entropía. Eso no es mucho. Escribir ocho caracteres adicionales para obtener un solo bit de entropía es exiguo; Esto no es un buen negocio.

Todos los trucos ingeniosos comparten el mismo problema fundamental: son ingeniosos. Confían en que el atacante sea estúpido, incompetente o arcaico. Esto no es válido en la práctica, excepto contra atacantes que son realmente estúpidos, incompetentes y arcaicos: los dioses saben que son muchos de ellos, pero no son un gran problema, porque no sabrían qué hacer con su contraseña. Los atacantes de los que debería preocuparse son los inteligentes, que pueden aplicar daños sustanciales a sus activos digitales en poco tiempo; estos atacantes inteligentes no serán disuadidos por el truco de duplicación de su contraseña.

Considere leer esta famosa pregunta para obtener información sobre qué hace que una contraseña sea "segura", en particular las matemáticas de entropía en esa respuesta .

respondido por el Tom Leek 01.02.2016 - 19:05

fuente

15

Mi cracker de contraseñas ya intenta duplicar letras, duplicar palabras, invertir y duplicar palabras, cambiar de palabra y doblar ...

... y muchos más.

Sí. La duplicación agrega algo a la dificultad: alrededor de cuatro bits, la parte superior. Me tomaría dieciséis veces más tiempo para descifrar, que un ataque de diccionario sin formato con reemplazos de letras.

¡Pero eventualmente obtendría BAdpA55! 22AqbA8.

respondido por el Dewi Morgan 02.02.2016 - 03:09

fuente

5

Los seres humanos son criaturas sorprendentemente predecibles. La forma en que pensamos no es tan única como nos gustaría creer. Es probable que cualquier cosa inteligente en la que pueda pensar para hacer que su contraseña sea más segura, ya haya sido considerada por muchas otras personas, y los piratas informáticos están conscientes de todos estos trucos inteligentes.

La única forma de hacer que una contraseña sea segura de manera adecuada es hacerla larga y aleatoria. Eliminar la falibilidad humana de la ecuación. Si una contraseña es tan compleja que posiblemente no pueda memorizarla, entonces puede ser lo suficientemente segura.

Los administradores de contraseñas son extremadamente útiles. Le permiten hacer que cada contraseña que use sea única y cada contraseña sea completamente aleatoria.

Obviamente, debes asegurarte de que la base de datos de tu administrador de contraseñas sea segura y no se pueda acceder a ella de forma remota.

respondido por el user1751825 02.02.2016 - 01:18

fuente

3

Hay muchos factores, pero en última instancia se desglosa en qué tipo de descifrado de contraseñas está tratando de proteger. Contra un ataque de fuerza bruta, aumentar la longitud de la contraseña hará que sea más difícil de descifrar. Asumiendo que su hashing no es horrible, una contraseña decente de 8 o 9 caracteres ya debería ser muy difícil o imposible de romper por fuerza bruta. Eso significa duplicarlo escribiendo cada carácter dos veces o escribiendo la misma contraseña dos veces realmente no hace mucho.

Una vez que su contraseña sea lo suficientemente larga para estar a salvo de un ataque de fuerza bruta, debe comenzar a preocuparse por los ataques de diccionario, los ataques combinados y otras cosas por el estilo. Cualquiera de las cosas que sugiera sería fácil de incluir en un ataque basado en reglas y cualquier valor en la seguridad adicional depende de que no se realice comúnmente y no se incluya en su conjunto de reglas.

respondido por el Evan Steinbrenner 01.02.2016 - 23:02

fuente

3

Enlace a la demostración de entropía de la contraseña de zxcvbn.

Según zxcvbn, las estadísticas de su contraseña inicial:

Normal: PwdThing

 Guesses:
    100 / hour:     5 months    (throttled online attack)
    10  / second:   58 minutes  (unthrottled online attack)
    10k / second:   35 seconds  (offline attack, slow hash, many cores)
    10B / second:   less than a second  (offline attack, fast hash, many cores)

Doble: PwdThingPwdThing

guess times:
100 / hour:     9 months    (throttled online attack)
10  / second:   2 hours (unthrottled online attack)
10k / second:   1 minute    (offline attack, slow hash, many cores)
10B / second:   less than a second  (offline attack, fast hash, many cores

Carta doblada: PPwwddTThhiinngg

guess times:
100 / hour:     centuries   (throttled online attack)
10  / second:   centuries   (unthrottled online attack)
10k / second:   centuries   (offline attack, slow hash, many cores)
10B / second:   12 days (offline attack, fast hash, many cores)

zxcvbn puede no ser perfecto, pero creo que te da una estimación bastante buena de la fortaleza de tu contraseña. Juega con él para obtener una contraseña agradable y memorable con una calificación alta.

Prefiero que las oraciones se utilicen como contraseñas. Son largos, e intrínsecamente difíciles de adivinar y fáciles de recordar.

EX: "Mi segunda fruta favorita, los lunes, es el mango!" (espacios incluidos donde esté permitido)

Si te preocupa que la bruta de la NSA fuerce tu contraseña ... iría con las contraseñas generadas de las que todos los demás están hablando.

respondido por el SethWhite 02.02.2016 - 22:25

fuente

1

Dos cosas hacen que una contraseña sea más segura: longitud y aleatoriedad. Entonces, la respuesta a tu pregunta es definitivamente Sí , estás aumentando la seguridad de tu contraseña.

Pero en general, su contraseña inicial no es muy segura porque usa palabras que se pueden encontrar en un diccionario. Y, la duplicación es solo un patrón repetitivo que un algoritmo de craqueo también puede hacer fácilmente. Entonces, no solo duplique su contraseña, asegúrese de que lo que doble no sean palabras reales.

respondido por el user98946 01.02.2016 - 23:40

fuente

0

agregar longitud a una contraseña aumenta sustancialmente la seguridad de una contraseña, así que creo que escribir la contraseña dos veces o duplicar cada carácter es mejor que no hacerlo y usar una contraseña más corta de 8 o 9 caracteres. Consulte este enlace para obtener más información sobre cómo el aumento de la longitud de la contraseña mejora significativamente su seguridad: enlace

respondido por el user98942 01.02.2016 - 21:30

fuente

0

La longitud de la contraseña siempre es un factor clave en la seguridad de la contraseña, pero también intente mejorar el contenido, ya que la duplicación de la contraseña puede ayudar contra la práctica con ataques de HYDRA / Dictionary

respondido por el silentcallz 02.02.2016 - 01:16

fuente

-2

@SethWhite - cree que has dado la respuesta más precisa.

Muchos usuarios no entienden las vías y los métodos utilizados para romper una contraseña. También existen medidas de seguridad adicionales, como el bloqueo de puertos para personas desconocidas en http / ftp. Alguien mejor versado debería explicar.

Seth muestra que existen al menos cuatro vías diferentes para romper una contraseña de la manera más difícil. La forma más sencilla es Phish, mirar debajo del teclado, notas adhesivas en el monitor para papel, etc.

Las contraseñas son solo una parte de lo que protege tus datos contra ataques. Su contraseña (frase clave) se utiliza para generar una secuencia binaria larga y aleatoria (código de máquina) que solo puede decodificarse con su contraseña y el algoritmo de software que lo codificó. Por lo tanto, cualquiera que intente adivinar esta secuencia binaria (HASH) en los datos base (sin usar el software de decodificación que usa la página de inicio de sesión) tendrá que intentar comenzar aleatoriamente con el primer byte hasta que adivine todos los bytes al azar. Esto es lo que Seth muestra como fuerza bruta y necesita mucho tiempo y muchos núcleos para longitudes HASH de 64,128,256,512 bytes. El tiempo para hackear sube exponencialmente con la longitud. La longitud de HASH se basa en el tamaño de la contraseña, por lo que una contraseña más larga es más larga.

Creo que a Wikileaks le tomó muchos meses romper el código, pero la mayoría de HASH se puede romper. Creo que los hacks del centro de servicios de datos fueron ataques de diccionario donde el pirata informático utilizó el software de descodificación de inicio de sesión para adivinar las contraseñas. Por lo tanto, los ataques de diccionario generalmente tienen algún tipo de acceso al sistema en el que se encuentran sus datos, no solo los datos.

Por ejemplo, entiendo que el ataque en línea acelerado se elimina a través de una conexión http, posiblemente respaldada por una cookie pirateada (un pequeño programa generalmente útil instalado por servidores web) para "Diccionario atacar su sistema".

Conclusión: las contraseñas aleatorias largas (los recuentos de "PPwwddTThhiinngg") ayudan mucho a detener ambos tipos de ataques. La longitud y complejidad de la contraseña deben reflejar el peligro de los ataques de diccionario y la sensibilidad a la información almacenada.

P.S. Mi familia me odia porque nuestra red inalámbrica doméstica está protegida por una frase clave aleatoria de 128 bytes.

respondido por el hdunn 03.02.2016 - 12:51

fuente

Lea otras preguntas en las etiquetas passwords

Adivinar la contraseña de la pantalla táctil mediante el rastreo de huellas dactilares ¿Se puede saber si el resultado de hash ha cerrado una conjetura de contraseña?

score 101 · Accepted Answer

"Intentemos "omitir "la "teoría "e "ir "directamente "a "la "práctica. "

"¿Ayudar "a "escribir "la "misma "palabra "dos "veces "(o "N "veces) "sustancialmente? "

" "John "the "Ripper "Jumbo " "tiene "una "variedad "de ""reglas "simples" "sobre "esto "
- "
  "d "duplicado: ""Fred" "- "> ""FredFred" "
  "
- "
  "f "refleja: ""Fred" "- "> ""FredderF" "
  "
" "ataque "basado "en "reglas "de "oclHashcat " "tiene "reglas "simples "solo "para "esto, "también "
- "
  "d "Duplicar "la "palabra "completa "d "p "@ "ssW0rd "p "@ "ssW0rdp "@ "ssW0rd "
  "
- "
  "pN "Agregue "la "palabra "duplicada "N "veces "p2 "p "@ "ssW0rd "p "@ "ssW0rdp "@ "ssW0rdp "@ "ssW0rd "
  "
- "
  "Refleja "f "Palabra "duplicada "invertida "f "p "@ "ssW0rd "p "@ "ssW0rddr0Wss "@ "p "
  "
"
"Por "lo "tanto, "no, "este "poco "de "inteligencia "es "tan "común "que "se "incluye "explícitamente "en "los "dos "conjuntos "de "reglas "comunes "que "ya "se "usan "solo "o "en "combinación "con "otras "reglas. "
"

"O "escribe "cada "carácter "dos "veces "

" "John "the "Ripper "Jumbo " "tiene "un "ejemplo "específicamente "sobre "esto "en "la "documentación "
- "
  "XNMI "extrae "la "subcadena "NM "de "la "memoria "e "insértela "en "la "palabra "actual "en "I "es "la "regla "principal "
  "
- "
  ""< "4X011X113X215" "(duplicar "todos "los "caracteres "en "una "palabra "corta) "es "el "ejemplo "en "la "documentación "para "cubrir "exactamente "su "caso "para "contraseñas "cortas "
  "

. "

" "ataque "basado "en "reglas "de "oclHashcat " "tiene "reglas "simples "solo "para "este "tipo "de "ataques "
- "
  "q "Duplicar "todos "los "caracteres "q "p "@ "ssW0rd "pp "@@ "ssssWW00rrdd "
  "
- "
  "zN "Duplica "el "primer "carácter "N "veces "z2 "p "@ "ssW0rd "ppp "@ "ssW0rd "
  "
- "
  "ZN "Duplica "el "último "carácter "N "veces "Z2 "p "@ "ssW0rd "p "@ "ssW0rddd "
  "
- "
  "XNMI "Inserte "la "subcadena "de "longitud "M "a "partir "de "la "posición "N "de "la "palabra "guardada "en "la "memoria "en "la "posición "I "lMX428 "p "@ "ssW0rd "p "@ "ssw0rdw0 "
  "
"
"Por "lo "tanto, "no, "una "vez "más, "esto "es "un "poco "de "inteligencia "tan "común "que "se "menciona "explícitamente "en "los "dos "principales "productos "de "cracking "de "código "abierto. "
"

"Suponga "que "ya "tiene "8 "o "9 "caracteres, "que "constan "de "mayúsculas "y "minúsculas, "dígitos "y "uno "o "más "caracteres "especiales. "

"Es "muy "probable "que "las "otras "reglas "de "esos "productos "cubran "todo "lo "que "estás "haciendo, "y "también "es "probable "que "cualquier "combinación "que "tengas "ya "esté "incluida "en "un "conjunto "de "reglas "aplicado "a "una "lista "de "palabras "de "cracking "razonable. "

"
"oclHashcat "solo "viene "con "veinticinco "archivos "diferentes "llenos "de ".rules, "incluyendo "d3ad0ne.rule "con "más "de "35,000 "reglas, "dive.rule "con "más "de "120,000 "reglas, "y "así "sucesivamente. "
"
"
"hay "una "gran "cantidad "de "listas "de "palabras "disponibles, "algunas "de "las "cuales "pueden "incluir "su "contraseña "exacta, "solo " "Openwall "wordlist " "tiene "un "solo "archivo "de "500 "MB "de "más "de "40 "millones "de "palabras, "incluidas "las "mutiladas "
"
"
"y "personalmente "conozco "tanto "las "listas "de "palabras "pequeñas "y "muy "buenas "(phpbb, "et "all) "como "las "listas "de "palabras "grandes "e "integrales "con "literalmente "miles "de "millones "de "entradas, "que "ocupan "muchos "gigabytes "de "espacio "total. "
"

"Al "igual "que "con "todos "los "demás, "debe "usar "la "aleatoriedad "de "prueba "o "algo "así "como "una "oración "completa "que "valga "una "anécdota "personal "que "NO "use "palabras "en "la "lista "de "las "5000 "palabras "más "comunes "en "inglés, "y "use "palabras "largas "y "poco "comunes "(para "forzar "combinatoria "ataques "usando "diccionarios "mucho "más "grandes). "

"Busque "específicamente, "por "ejemplo, "las "palabras "seleccionadas "en "(bueno) "aleatorias "incluidas "en " "La "lista "del "diccionario "de "ispell "en "inglés "loco "de "Ubuntu " "que "no "se "incluye "en "el "diccionario "de "ispell "en "inglés "estándar, "por "ejemplo. "