¿Hay algún valor de seguridad adicional en el uso de contraseñas con palabras o frases en idiomas distintos del inglés?

Depende completamente de tu modelo de ataque. Es probable que una palabra de 16 caracteres resista la fuerza bruta, pero puede fallar inmediatamente contra los ataques de diccionario. ¿Cómo define la fuerza de esa contraseña? No hay una respuesta única.

Con el esquema que mencionaste, un ataque de fuerza bruta sería poco factible asumiendo que tu contraseña es lo suficientemente larga. Incluso entonces, depende totalmente de si el atacante está apuntando a tu rango de Unicode en particular, o si solo van por ASCII.

En general, es probable que los atacantes en el modelo de "fruto de baja pendiente" adivinen contraseñas solo en el rango ASCII, porque son las más comunes. Cuando más del 30% de las contraseñas están en la lista de los 10k principales, ¿por qué molestarse en hacer algo sofisticado?

Sin embargo, si está preocupado por los atacantes que conocen su idioma y están atacando activamente las contraseñas utilizando el mismo modelo que usó para crear su contraseña, es posible que tenga problemas. Aun así, si sus palabras son elegidas al azar de manera suficiente, y una de ellas no es estrictamente una palabra del diccionario (por ejemplo, una palabra como "pwned"), entonces puede estar seguro. Es bastante difícil juzgar la fuerza de las frases de contraseña, ya que su seguridad depende en gran medida de incógnitas como el diccionario en uso y el potencial de mutaciones.

La verdad es que no sabemos realmente si están seguros contra los atacantes salvajes en general, porque no tenemos estadísticas sólidas para respaldar nuestra intuición. El mejor consejo que puedo darte con respecto a las contraseñas que no están en inglés es suponer que eran en inglés y preguntarte si aún confías en ellas.

Para obtener más información, tenemos algunas preguntas relacionadas en el sitio:

• Política de complejidad de contraseñas para contraseñas que no están en inglés
• Diccionarios de contraseñas que no están en inglés

Cuando se trata de evaluar la seguridad de un algoritmo de generación de contraseña, es habitual , y también prudente , asumir que el atacante conoce su método perfectamente . ¿Por qué asumimos eso? ¡Porque eso es a menudo cierto! En particular, en organizaciones (empresas, administraciones ...) donde las reglas de generación de contraseñas se deciden y publican (y, a veces, se aplican automáticamente) por el administrador del sistema local.

En el método "caballo correcto", seleccionas algunas palabras al azar en una lista dada de palabras (selección uniforme para cada palabra). La suposición anterior significa que el atacante conoce la lista exacta. En ese momento, no cambia nada en absoluto que las palabras están en inglés, ruso o sumerio. Nitpicking: si las palabras son "difíciles de escribir" en un teclado determinado, esto podría implicar problemas de uso (especialmente porque la contraseña se escribe "a ciegas" para frustrar surfistas de hombro ).

El uso de palabras en ruso en lugar de palabras en inglés brindará cierta seguridad solo contra los atacantes que no son lo suficientemente serios como para hacer su tarea, e intenta una lista genérica de palabras comunes, en lugar de su lista de palabras comunes . En algunas situaciones prácticas, esto podría dar una ganancia; pero no cuente en ello. Dado que usar palabras en ruso en lugar de palabras en inglés no reducirá la seguridad de la base, no hay ningún problema en usar palabras en ruso (excepto los posibles problemas de usabilidad , que pueden o no aplicarse a su caso); pero sería imprudente creer que eso hace un bien sustancial tampoco.

Editar: para obtener más información sobre cómo calcular la contraseña entropía , consulte esta respuesta . El punto importante es que la entropía de la contraseña es una propiedad del proceso por el cual se genera la contraseña; y asumimos que el atacante conoce todo el proceso, excepto las elecciones aleatorias reales, porque sería muy difícil cuantificar cuán desconocido es el proceso. ¿Podría decir que "adivinar que las palabras son rusas le costará al atacante un esfuerzo de X meses-CPU de cómputo", para un valor incluso aproximado de X ? / p>     

Supongo que dependerá de la situación en sí.

Si un atacante obtiene un volcado de contraseña de un sitio en su mayoría en inglés como LinkedIn, supongo que lo más probable es que ejecute los hashes usando un diccionario en inglés. Mi mejor conjetura es que su contraseña será impermeable a los ataques de diccionario.

Si un atacante obtiene un volcado de contraseña de un sitio en otro idioma. Es muy probable que él ejecute los hashes utilizando el diccionario de otro idioma en su lugar.

Si su modelo de amenaza es un ataque dirigido contra usted, puede estar muy seguro de que el atacante usará un diccionario en su idioma nativo. Sin embargo, como sugiere el cómic de XKCD, cuatro palabras elegidas al azar de un diccionario de unos pocos miles de palabras son todavía increíblemente fuertes. Así que probablemente estés seguro.

Cuanto más larga sea la contraseña, por lo general, más fuerte. El tiempo para forzar directamente la contraseña a medida que aumenta la longitud aumenta muy rápidamente. Una vez que comienzas a usar una frase, los ataques de diccionario no son realmente prácticos. Incluso en un grupo latino superior / inferior, hacer un diccionario de frases no proporcionaría un beneficio real de más de 10 caracteres, a menos que las frases fueran extremadamente comunes.

Al mismo tiempo, claramente no lo escriba en ruso en papel, suponiendo que nadie se dará cuenta de la transliteración en inglés. También recomendaría almacenar tus contraseñas en KeePass u otro almacenamiento seguro y solo usar conjuntos de caracteres completamente aleatorios.

En última instancia, el aumento de la longitud aumenta la seguridad y disminuye la capacidad de adivinar o la fuerza bruta, pero casi siempre es mejor al azar.

El uso de su idioma nativo sigue usando palabras de diccionario. Los idiomas para ataques de diccionario a menudo se seleccionan usando información sobre la cuenta, por ejemplo, su nombre. El inglés tiene un vocabulario muy grande, por lo que en algunas circunstancias, podría ser más débil utilizar su idioma nativo.

enlace

Todo lo que supere los 8 caracteres con 1UPPER, 1lower, y 1 número es bueno, ESPERICAMENTE en texto simple si la contraseña contiene palabras encontradas en los diccionarios, manténgase alejado ...