Cuando se trata de evaluar la seguridad de un algoritmo de generación de contraseña, es habitual , y también prudente , asumir que el atacante conoce su método perfectamente . ¿Por qué asumimos eso? ¡Porque eso es a menudo cierto! En particular, en organizaciones (empresas, administraciones ...) donde las reglas de generación de contraseñas se deciden y publican (y, a veces, se aplican automáticamente) por el administrador del sistema local.
En el método "caballo correcto", seleccionas algunas palabras al azar en una lista dada de palabras (selección uniforme para cada palabra). La suposición anterior significa que el atacante conoce la lista exacta. En ese momento, no cambia nada en absoluto que las palabras están en inglés, ruso o sumerio. Nitpicking: si las palabras son "difíciles de escribir" en un teclado determinado, esto podría implicar problemas de uso (especialmente porque la contraseña se escribe "a ciegas" para frustrar surfistas de hombro ).
El uso de palabras en ruso en lugar de palabras en inglés brindará cierta seguridad solo contra los atacantes que no son lo suficientemente serios como para hacer su tarea, e intenta una lista genérica de palabras comunes, en lugar de su lista de palabras comunes . En algunas situaciones prácticas, esto podría dar una ganancia; pero no cuente en ello. Dado que usar palabras en ruso en lugar de palabras en inglés no reducirá la seguridad de la base, no hay ningún problema en usar palabras en ruso (excepto los posibles problemas de usabilidad , que pueden o no aplicarse a su caso); pero sería imprudente creer que eso hace un bien sustancial tampoco.
Editar: para obtener más información sobre cómo calcular la contraseña entropía , consulte esta respuesta . El punto importante es que la entropía de la contraseña es una propiedad del proceso por el cual se genera la contraseña; y asumimos que el atacante conoce todo el proceso, excepto las elecciones aleatorias reales, porque sería muy difícil cuantificar cuán desconocido es el proceso. ¿Podría decir que "adivinar que las palabras son rusas le costará al atacante un esfuerzo de X meses-CPU de cómputo", para un valor incluso aproximado de X ? / p>