¿Es una buena idea combinar palabras de diferentes idiomas para aumentar la fortaleza de una contraseña? [duplicar]

Question

¿Es una buena idea combinar palabras de diferentes idiomas para aumentar la fortaleza de una contraseña? [duplicar]

#1 de Lie Ryan (4 votos)
#2 de Nick C. (-1 votos)

1

Estaba pensando en una forma de generar una contraseña que sea fácil de recordar, pero difícil de descifrar, como la famosa "grapa correcta de la batería del caballo" sugerida por XKCD , también analizamos aquí , y me he dado cuenta de que nunca he escuchado la sugerencia de combinar palabras de diferentes idiomas. Otras preguntas en este sitio tratan con el idioma no inglés contraseñas o diccionarios , pero No considere mezclar idiomas, que es en lo que me estoy enfocando.

Hagamos un ejemplo. Mi idioma nativo es el italiano. Si traduje las dos últimas palabras y se me ocurriera el "correcto caballo batteria graffetta", ¿no sería mucho más difícil de descifrar que la oración en inglés?

Muchas personas tienen al menos un conocimiento básico de un segundo idioma, por lo que debería ser fácil para ellos elegir una palabra extranjera. Por supuesto, si su nivel es bajo, es probable que elijan palabras muy simples (como "hola", "gato", "perro") que serían fáciles de adivinar y esto sería malo. Pero excluyendo este caso, es decir, suponiendo que las palabras elegidas no son completamente triviales, ¿funcionaría esta sugerencia? ¿Proporcionaría contraseñas más seguras, y todo lo demás sería igual (es decir, la longitud total, la presencia de letras minúsculas / mayúsculas, números y otros símbolos, la entropía ...)?

En mi opinión, la efectividad de esta estrategia depende del ataque. Si es puramente de fuerza bruta (es decir, sin diccionario), diría que es lo mismo. Pero si el ataque está basado en un diccionario (como es probable que sea el caso), ¿esta técnica no frustraría muchos ataques? ¿Cuántos diccionarios hay que combinan palabras de más de un idioma? Creo que mi frase de ejemplo "caballo correcto batteria graffetta" sería bastante difícil de adivinar.

Veamos este enfoque aún más y agreguemos un idioma más. "Caballo" en italiano es "cavallo", y en alemán es "Pferd" (con mayúscula P, pero ignoremos esto y mantengamos todo en minúsculas). ¿No sería más difícil el "caballo cavallo pferd"? Y esta es solo una palabra traducida a 3 idiomas, lo cual es probablemente una muy mala idea. Tomemos 3 palabras no relacionadas: ventana, tiburón, albaricoque. ¿Qué pasa con "ventana squalo aprikose"? Creo que esto sería realmente difícil de adivinar.

Por supuesto, esto es "seguridad a través de la oscuridad", es decir, este método funciona bien si el atacante no sabe que se está utilizando. Asumamos el peor de los casos: él es consciente de esto, e incluso sabe qué idiomas hablo. Claramente, mi idea sería casi ineficaz en este caso, pero aún así: ¿no sería mejor que elegir palabras de un solo idioma? El atacante se vería obligado a usar un diccionario más grande, y sus ataques tardarían más.

Para concluir: Creo que crear una contraseña combinando palabras de diferentes idiomas puede reducir en gran medida la efectividad de un ataque de diccionario no dirigido (y posiblemente frustrarlo por completo). Si, en cambio, el ataque es el objetivo, el beneficio es menor, pero por otro lado no hay inconveniente. Por lo tanto, este método puede verse como una mejora sobre la sugerencia de XKCD.

Estoy en lo cierto? ¿Es una buena idea adoptar / recomendar esta técnica o me falta algo?

passwords password-policy password-cracking passphrase

pregunta Fabio Turati 13.02.2016 - 04:29

fuente

2 respuestas

-1

Es una observación interesante. He visto la página web que has vinculado. Según el webcomic, la frase "grapas correctas de la batería del caballo" tiene 44 bits de entropía. Sin embargo, si reemplaza horse por cavallo , tendrá casi la misma entropía porque ha agregado solo 2 caracteres. Por supuesto que tiene razón, claramente está aumentando la seguridad de la contraseña, pero no significativamente. Comúnmente, solo al juntar dos palabras en una contraseña, puede frustrar un ataque de diccionario.

respondido por el Nick C. 13.02.2016 - 06:55

fuente

Lea otras preguntas en las etiquetas passwords password-policy password-cracking passphrase

¿Se pueden interceptar el nombre de usuario / las contraseñas en una aplicación mediante wifi público? Archivo adjunto inesperado dentro de PDF

score 4 · Accepted Answer

Todo lo que importa al calcular la fuerza de la estrategia de generación de contraseña es cuánta entropía está involucrada en la generación de la contraseña.

El uso de múltiples diccionarios no debilita la frase de contraseña. La medida en que esto refuerza la frase de paso, depende de cómo elija exactamente su frase de paso.

Desde la perspectiva del cálculo de la entropía, usar un diccionario combinado de varios idiomas es exactamente lo mismo que aumentar el número de palabras en su diccionario.

Por ejemplo, estrategia estándar de software de uso de dados utilizó un diccionario con 7776 palabras. La fuerza de una contraseña de diceware de 4 palabras es 7776^4 ≈ 2^51.7 , o 51 bits. Si modificó esta estrategia, por lo que usa un diccionario combinado de 7776 palabras en inglés y 7776 en italiano, entonces la fuerza de su frase de contraseña sería (7776+7776)^4 ≈ 2^55.7 , o 55 bits, que es solo 4 bits más fuerte que el software de dados estándar.

Si, por otro lado, usted decide que las dos primeras palabras serán en inglés y las dos últimas en italiano, o si decide que va a usar un diccionario combinado de 3888 palabras en inglés y 3888 Palabras italianas, entonces estas no aumentan realmente la fuerza de la frase de contraseña desde la perspectiva de la entropía.

En general, es más fructífero aumentar el número de palabras en la frase de contraseña en lugar de aumentar el tamaño del diccionario. Si usó la frase de contraseña estándar para el software de dados de 5 palabras, la fortaleza de su contraseña es 7666^5 ≈ 2^64.6 , que es un aumento de casi 13 bits desde el software de 4-palabras. Para obtener un aumento de 13 bits en la fuerza al aumentar el tamaño del diccionario de 7776, debes usar un diccionario que sea 9 veces el tamaño del diccionario estándar de software de dados (9*7776)^4 ≈ 2^64.4 (es decir, debes usar 9 idiomas).

No estaría mal aumentar el tamaño del diccionario, pero en realidad no agrega mucha entropía. Sin embargo, desde la perspectiva de la entropía, la longitud de la frase de paso es más importante que el tamaño del diccionario.