Hoy tuve que escribir la misma contraseña para conectarme a una red WiFi asegurada con WPA2 varias veces, y me molesté mucho con la longitud de la contraseña. Especialmente porque es solo una frase repetida dos veces.
Entonces, cuando se usa WPA2 con un enrutador WiFi, ¿es siempre más seguro usar contraseñas más largas?
Un breve párrafo de otra respuesta que tengo aquí cubre bastante esto, aunque no con mucho detalle:
La cantidad de protección ofrecida al implementar una contraseña en cualquier sistema siempre variará en proporción directa a la complejidad de la contraseña, y al esfuerzo realizado para proteger esa contraseña. Las redes inalámbricas no son una excepción.
Cuando se utiliza un mecanismo de hash fuerte, las contraseñas más largas y complejas casi invariablemente lo pondrán en una mejor posición de seguridad. Le sugiero encarecidamente que lea algunas de las otras preguntas contraseñas que tenemos aquí. Uno de particular interés es:
XKCD # 936: Contraseña compleja corta, o ¿frase de contraseña larga del diccionario?
Sin embargo, se debe tener en cuenta que el PSK de una red WPA2 solo es efectivo cuando WPS está deshabilitado o no es compatible con el AP. Los recientes ataques de canal lateral permiten que un atacante rompa WPS en un tiempo relativamente corto, y reúna el PSK WPA2 directamente desde el AP sin tener que descifrar el PSK en sí mismo.
Depende, pero en general: sí.
Para atacar una clave WPA2 (¡y teniendo en cuenta que WPS está inhabilitada!), es necesario que la fuerza bruta, por lo que cuanto más larga sea la clave, más tiempo lleva.
Sugiera que tengo una clave de tres letras y puedo procesar aproximadamente 5 palabras por segundo para el AP (ficticio). Una palabra puede constar de 24 letras y 10 números. Entonces, sus posibilidades son (24 + 10) ^ 3 = 39304. Si sumamos una letra obtenemos: (24 + 10) ^ 4 = 1336336 posibilidades. Se tardaría 37 veces más en procesar esas posibilidades.
Cuanto más larga sea la frase, más posibilidades habrá, más tardará en atacar un AP.
Nota: SIN EMBARGO, si toma las palabras normales, debe preocuparse por los ataques de diccionario. Solo usan un diccionario y prueban todas las palabras que hay allí, esto reduce significativamente las posibilidades.
¿Es siempre más seguro? No, aunque por lo general es.
Como ejemplo contrario, 1234567890 es mucho más débil que B9xZbA seis caracteres alfanuméricos generados aleatoriamente, a pesar de ser más largos. La diferencia es el contenido de entropía informativo de la contraseña. Básicamente, cuando el espacio de muestra de las contraseñas creadas de manera similar es más pequeño, la contraseña es más fácil de descifrar. Este tipo de cálculos son un poco difíciles de realizar en la práctica, pero se pueden aprender algunos puntos generales. Expandir el espacio de los elementos elegidos al azar es menos efectivo que aumentar la longitud de la contraseña. Por ejemplo, una contraseña en minúscula de 10 caracteres (26 letras) de caracteres aleatorios tiene 26 10 ~ 10 14 contraseñas posibles, mientras que una contraseña de 8 dígitos mezcla aleatoriamente el caso (52 letras mayúsculas y minúsculas) tiene 52 8 ~ 5 x 10 13 la contraseña se puede descifrar en aproximadamente la mitad del tiempo.
Como un mejor ejemplo para una contraseña wifi, generalmente se desea una frase de contraseña de alta entropía. Las frases de contraseña pueden ser más fáciles de recordar que una contraseña equivalente. Diceware es una buena forma de generar una frase de contraseña. Acabo de generar glory pew golf iambic clip fee en unos pocos segundos con un generador de números aleatorios. Cada palabra fue generada por 5 tiradas de un dado (6 5 ~ 7776 elecciones), así que una palabra de seis (6 30 ~ 10 23 ) la frase de contraseña tardaría aproximadamente mil millones de veces más en fuerza bruta que una minúscula de diez caracteres. Una contraseña en minúscula equivalente sería ~ 17 caracteres en minúscula vjdipotnbwpnzjvzr o ~ 14 mayúsculas y minúsculas ( tkydzwULzRzSFs ) o ~ 12 mayúsculas y caracteres especiales ( Unsv9[}[g2Pk ).
Ahora, cuando tiene una contraseña que cae en un patrón fácil como 1234567890, la entropía es muy baja; por ejemplo, podría decir que tiene una opción para el carácter de inicio (80 opciones), la forma de ascender o descender de los caracteres (por ejemplo, 4 posibilidades) y la longitud de la contraseña (por ejemplo, de 1 a 30 caracteres). Esto tiene 80x4x30 = 9600 ~ 10 3 es 10 mil millones de veces más fácil de descifrar que diez dígitos aleatorios. Puede decir, bueno, esto solo se descifra si el algoritmo para descifrar este tipo de contraseñas especiales, y eso es cierto. Pero no es difícil verificar inicialmente algunos de estos tipos de contraseñas (y es mucho más probable que estos tipos de contraseñas aparezcan en listas de contraseñas filtradas).
De manera similar, si elijo una frase significativa, como la entropía, es mucho más baja, ya que hay pequeñas listas de frases significativas que un atacante en principio podría usar en sus ataques.
También debe asegurarse de que no haya otros ataques contra el sistema, por ejemplo, está utilizando WEP o WPS u otro sistema roto, por lo que la complejidad de su contraseña es irrelevante.
Esta publicación habla sobre cómo forzar la brutalidad de una WPA contraseña. La respuesta corta es: sí, es más seguro tener una contraseña más larga. La pregunta es la conveniencia relativa de tener una contraseña más corta con una más segura: si se trata de la conexión inalámbrica de su hogar, probablemente no necesite una contraseña larga y loca, pero si es algo más importante, debería pensarlo dos veces.
En términos generales, sí, sin embargo, le recomiendo que nunca utilice palabras en su contraseña y que implique un filtro de dirección MAC. ¿Todavía es posible penetrar? Sí, pero en la mayoría de los casos, a quién le gustaría molestarse con una contraseña larga y el filtrado de la dirección MAC. Luego, nuevamente está la Piña WiFi: enlace Los dongles 3G o 4G son mucho más seguros, pero nuevamente, todo depende de la aplicación y el presupuesto completos.
Las respuestas ya han explicado más. En la práctica, ¿cuánto tiempo tiene que ser? Probablemente más largo de lo que la persona promedio usa en la práctica, pero menos que algunas de las sugerencias que se ven en la web. Me puse a buscar un tamaño razonablemente seguro que todavía sea fácil de manejar. Lo suficientemente seguro para mí sería que un adversario con acceso a 10 PC de gama alta en 5 años (el tiempo para el que mantendré la contraseña) tendrá una probabilidad del 2% de descifrar la contraseña en 1 mes. Ajusta los números como quieras. Un adversario muy poderoso puede tener acceso a más poder de cómputo, pero es poco probable que lo use durante un mes entero.
De acuerdo con hashcat, una PC de gama alta con 8 tarjetas gráficas de gama superior puede verificar solo más de 2.2 millones de frases de contraseña (en realidad: hashes) por segundo. Si asumimos que el rendimiento se duplica cada año, en 5 años, 1 PC superior podrá verificar 71 millones de hashes por segundo. Así que 10 de esas PC podrían hacer 714 millones de hashes por segundo, o alrededor de 1,879,149,888,000,000 de hashes en 1 mes. Dado que requerimos una probabilidad de solo el 2% de que la contraseña se descifre, debemos tener una regla de creación de contraseña que permita 93,957,494,400,000,000 posibilidades.
Entonces, si usa una frase de contraseña verdaderamente aleatoria, puede obtener 12 letras minúsculas o 9-10 caracteres alfanuméricos (letras mayúsculas y minúsculas más dígitos). Me gustan las letras minúsculas, ya que puede escribirlas fácilmente en su dispositivo móvil. Pero no es absolutamente necesario utilizar frases de contraseña de 50 caracteres demasiado complejas que utilicen todo tipo de caracteres especiales.
Además, si no está al tanto: necesita usar un ESSID que no es lo suficientemente común como para que alguien ya haya calculado una tabla arco iris para él.
En general, sí! Es más seguro tener una contraseña más larga, ya que cuantos más caracteres tiene la contraseña, se agrega complejidad, lo que hace que sea más difícil para los piratas informáticos usarla con algunas de las herramientas disponibles.