Fuerza de las contraseñas con patrones

Question

Fuerza de las contraseñas con patrones

#1 de Mike Ounsworth (43 votos)
#2 de Royce Williams (20 votos)
#3 de Dmitry Grigoryev (3 votos)
#4 de T.Todua (-6 votos)

14

Una de las técnicas menos utilizadas para contraseñas seguras es usar patrones o incluso repeticiones directas, por lo que puede ser muy largo y ser memorable.

Por ejemplo:

Thue-Morse 01101001100101101001 se convierte en 0110-3223-5445-6776-9889 increment parity 20

Fibonacci 1,1,2,3,5,8,13,21,34,55 se convierte en 0 0 1 2 4 7 12 20 33 54 one less than fibonacci

Los dígitos de pi 3.1415926535 se convierten en after 3. is 14159 then 26535

Prefijo largo 11111119 and 19999999 are primes

Repetición aall leetttteerrss aarree ddoouubbleedd eexxcceepptt l

Distribución del teclado !@@###$$$$%%%%%^^^^^^&&&&&&&********(((((((((

No son los mejores ejemplos pero entiendes la idea. Por lo tanto, una contraseña real podría tener este aspecto:

primes 235 LuA: LualuA LualualuA LualualualualuA

Parece fácil para los humanos, pero el algoritmo de adivinación seguramente no conoce la conexión entre primes , 235 y la repetición de lua .

Hay muchos patrones para trabajar y una gran cantidad de posibles mapeos / mutaciones. Las asignaciones también pueden ser superpuestas. Luego se pueden insertar palabras y agregar prefijos y sufijos cortos. Si el espacio de búsqueda aún no fuera lo suficientemente grande, podría concatenar dos de estos para cuadrar el número de contraseñas posibles. ¿Es prácticamente indiscutible o estos patrones debilitan las contraseñas lo suficiente como para que los algoritmos especializados puedan adivinarlas fácilmente?

Su extensión y uso de palabras que no son palabras debería hacerlos inmunes a cualquier método de adivinación de contraseña existente, por lo menos al menos tienen ese beneficio.

Extra: ¿cuánta adivinación adivina está realmente en una de estas contraseñas? Realmente no hay datos para trabajar, pero podríamos usar la estimación de Fermi para acercarnos un poco.

passwords

pregunta EPICI 10.09.2017 - 19:41

fuente

4 respuestas

20

Tales métodos hacen que las contraseñas un poco sean más resistentes a la inspección del manual . Desafortunadamente, sus oponentes no se limitan a la inspección manual. Todos los métodos que describe están sujetos a automatización y, por lo tanto, se pueden replicar fácilmente por los entusiastas de descifrado de contraseñas.

En términos generales, si su método se debilita una vez que se conoce, lo está haciendo mal . En lugar de tratar de burlar la inspección manual, debe utilizar un método que resista el ataque incluso cuando se conocen los detalles precisos del método .

Además, algunas de las técnicas que estás describiendo serían difíciles de hacer en tu cabeza y requerirían que el usuario guarde la contraseña en otro lugar de todos modos. Si ya vas a hacer eso, es mejor que simplemente:

Para contraseñas no memorizadas, genere contraseñas aleatorias y almacénelas en un administrador de contraseñas, y
Para contraseñas memorizadas, use una frase de contraseña generada al azar con un número suficiente de palabras y la longitud de la lista de palabras para resistir la fuerza bruta. Aaron Toponce tiene una lista que compara varios generadores de contraseña / frase de contraseña que ilustran las cualidades que debe tener en cuenta al seleccionar uno. Ajuste la cantidad de palabras y la longitud del diccionario para su caso de uso.

Finalmente, a tu pregunta sobre adivinar la entropía, te animo a que no te distraigas con esa pregunta. Solo hay unos pocos "bits" de información del mundo real allí: "aquí está la cadena base que utilicé" más "aquí está lo que hice para transformarlo". La "entropía" efectiva de tales métodos puede ser aceptable a corto plazo, pero se reducirá drásticamente una vez que se descubra el método . (En otras palabras, aplace la discusión de la entropía hasta que haya decidido un método que no se debilite con la divulgación).

respondido por el Royce Williams 10.09.2017 - 20:25

fuente

3

Las contraseñas largas con baja entropía son buenas contra una cosa: ataques de fuerza bruta . Los ataques de fuerza bruta actuales están limitados a aproximadamente 10 caracteres, por lo que si está considerando usar zxcvbn como su contraseña, usar zZxXcCvVbBnN sería una gran mejora.

Sin embargo, si estás a punto de usar una contraseña adecuada (como correct horse battery staple ), puedes estar bastante seguro de que no se forzará a la fuerza bruta. En este caso, el uso del relleno de baja entropía solo hará que sea más difícil de escribir. El atacante tendrá que obtener algún tipo de información para descifrar su contraseña en primer lugar, y si asumimos que el atacante puede obtener información sobre su contraseña, es razonable suponer que su esquema de relleno puede ser parte de esas ideas.

Aquí es un breve post que critica el enfoque que usted propone. Para resumirlo en una oración,

Cualquier recomendación pública de un esquema de baja entropía, a cualquier nivel de detalle, es contraproducente. Cuanto más se adopta, más rápido se debilita en relación con la entropía.

respondido por el Dmitry Grigoryev 11.09.2017 - 15:11

fuente

-6

Sí, los "Patrones" son útiles para crear sus contraseñas. Un ejemplo de creación de patrones de contraseña para diferentes sitios, se explica aquí: Creando patrones de contraseña, usando el nombre DOMINIO . Pero ...

¿Importa la fortaleza de la contraseña?

Para agregar una adición a las respuestas anteriores, probablemente no tenga que preocuparse demasiado por la longitud de la contraseña, ya que la mayoría de los problemas surgen con:

KeyLogging
Complementos del navegador
red sniffing
sitios web pirateados (después de ingresar la contraseña, el script roba su contraseña)
etc ...

respondido por el T.Todua 11.09.2017 - 09:47

fuente

Lea otras preguntas en las etiquetas passwords

La inyección de SQL puede omitir el inicio de sesión pero no soltar la tabla ¿Con qué seguridad los usuarios pueden ejecutar código JVM arbitrario en un servidor?

score 43 · Accepted Answer

Por lo que puedo decir, la pregunta es:

Son prácticamente imposibles de adivinar, ¿no?

La respuesta es muy fuerte depende del tipo de ataque que te preocupa . Además, en el mejor de los casos, lo que estás haciendo es igual de sólido que usar las contraseñas generadas aleatoriamente por un administrador de contraseñas, pero casi seguramente más esfuerzo, ¿no?

Respuesta de @RoyceWilliams casi da en el clavo en la cabeza:

En términos generales, si tu método se debilita una vez que se conoce, lo estás haciendo mal.

Vamos a desglosar esto un poco más. Hay dos tipos de ataques de fuerza bruta de contraseña de los que debe preocuparse:

Ataques automáticos

Aka "oportunista". En este caso, el atacante está buscando frutos de poca importancia: está atacando a todos los usuarios del sistema en paralelo, ya sea buscando un único punto de entrada en el sistema (en el caso de que lo haga cualquier usuario), o está buscando un compromiso como Muchas cuentas como pueden con un mínimo esfuerzo.

Es poco probable que intenten cualquier tipo de listas "generadas algorítmicamente", porque pueden obtener lo que quieren simplemente probando el 100,000 contraseñas más comunes basadas en las violaciones de este año. Siempre que su contraseña no esté en una de esas listas de "Principales X contraseñas más comunes", ya está bastante inmune; realmente no necesitas hacer un esfuerzo extra.

Ataques dirigidos

Aquí usted, y específicamente, ha sido seleccionado como objetivo. Tal vez haya datos en su cuenta que sean valiosos para su empleador, tal vez trabaje para el servicio de asistencia de TI de su empresa y es más probable que tenga éxito el envío de un correo electrónico de phishing desde su cuenta. Cualquiera sea la razón, específicamente estás siendo estudiado.

Encontrarán tus publicaciones en redes sociales. Encontrarán tu publicación en este sitio. Recuperarán todas las contraseñas tuyas de violaciones anteriores para estudiar cómo inventas tus contraseñas. Escribirán software para generar listas de conjeturas basadas en todo lo que saben sobre usted. Si saben que te gusta usar constantes matemáticas o citas de Tolkien o wtv, crearán las listas de conjeturas adecuadas.

Contra un ataque dirigido, @RoyceWilliams 'responde haciendo referencia al El principio de Kerckhoffs es relevante: su plan debe ser seguro incluso si el atacante sabe cuál es el esquema. Puede ser lo suficientemente inteligente como para inventar algo que pase esta prueba, pero apostaría a que lo que invente será más esfuerzo que solo usar un administrador de contraseñas con contraseñas aleatorias de 32 caracteres. Así que haz eso.

Estos dos modelos de ataque están destinados a ser un marco para pensar sobre el panorama de amenazas, no una lista exhaustiva de cosas que harán los atacantes. Como @Ben señala en los comentarios, hay una escala móvil entre estos dos que tiene algunas características de Drive-by y algunas características de Targeted. Donde pones tu nivel de comodidad es tu elección; aunque si está considerando esto, entonces, por el mínimo esfuerzo adicional, podría ir hasta la cima y utilizar un administrador de contraseñas.