¿Las contraseñas más largas son más seguras incluso si la seguridad de cifrado / base de datos utilizada está comprometida?

Navega tus respuestas
1

Permítanme comenzar con esto porque tengo muchos problemas para redactar mi pregunta. Espero que mi descripción ayude a aclarar.

Siempre me he preguntado si las contraseñas largas realmente le brindan más seguridad que las más cortas cuando se trata de sitios web como Google, Facebook y similares.

Tengo un conocimiento muy, muy básico de la criptografía, pero según tengo entendido, la mayoría de los sitios web tienen que almacenar la contraseña en algún lugar, y cuando se almacenan, se cifran en algún tipo de cadena hexadecimal (o similar). Por ejemplo, vaya a aquí e ingrese una cadena de cualquier longitud siempre producirá una cadena de 32 caracteres.

Ahora, por supuesto, hay varios tipos diferentes de estándares de cifrado. Sin embargo, me parece que si una base de datos de usuarios se ve comprometida en el sitio web any a través de algún medio, al final del día no importó el tiempo de su contraseña, sus credenciales aún se vieron comprometidas y potencialmente hecho público Su contraseña de 900 caracteres no era más segura que alguien con "12345678" como contraseña, ambos tienen el nombre de usuario y la contraseña robados.

He visto preguntas similares a esta, aunque ninguna parece preguntar lo mismo. Entonces, mi pregunta es si las contraseñas más largas son más seguras que las más cortas, incluso si la seguridad de cifrado / base de datos utilizada está comprometida.

Además, parece que estoy asumiendo que existen otros métodos para comprometer los datos del usuario sin un método de tipo de fuerza bruta, así que avíseme si estoy haciendo algunas suposiciones tontas.

Gracias a todos! :)

    
pregunta rigidmoose 25.02.2016 - 03:45
fuente

3 respuestas

2

Algunos casos generales de ataques sin conexión (se roban la tabla hash completa del nombre de usuario y la contraseña, incluidas las sales, los pimientos, etc.).

  • Contraseña débil, CUALQUIER almacenamiento, está roto.

  • CUALQUIER contraseña, almacenamiento de texto sin formato: está roto

  • CUALQUIER contraseña, almacenamiento de cifrado, claves perdidas o débiles también - está roto (HASH IT)

  • Contraseña moderada, almacenamiento hash débil pero correcto: está roto.

  • Contraseña moderada, almacenamiento de hash muy fuerte y correcto: depende del tiempo y los recursos que ofrecen los atacantes

    • Esto incluye DESPUÉS de que los atacantes originales se rindan y publiquen todo en Internet para que todos en el mundo lo tomen en serio.

  • Contraseña extremadamente fuerte, almacenamiento hash débil pero correcto, ¡es seguro!

y así sucesivamente entre estos.

    
respondido por el Anti-weakpasswords 25.02.2016 - 05:11
fuente
0

Primero que nada: mi comprensión es muy ruda.

En la mayoría de las situaciones, solo el valor de hash de la contraseña se almacena mediante una función de hash (md5 no se considera seguro durante mucho tiempo, consulte SHA-1 y otros), aunque eso depende del proveedor de servicios. No se habla de la seguridad de la propia contraseña; Sus datos personales (nombres, direcciones, archivos) probablemente no estén encriptados o al menos no con su propia contraseña, excepto en circunstancias especiales. Para que quede claro: espero que la contraseña se use solo para el inicio de sesión / autenticación en Internet, no para el cifrado de archivos, etc.

Según tengo entendido, usted envía su contraseña a través de un canal seguro al sitio web (facebook, google, etc.) y la compara con su versión de hash (al copiar la contraseña de envío de la misma manera). Por lo tanto, los datos podrían ser robados por un tercero en caso de un compromiso de la base de datos / servidor, dependiendo de los mecanismos de seguridad del proveedor del servicio, como el cifrado.

Pero encontrar la contraseña en sí cuando el atacante obtuvo su versión de hash de la base de datos no es tan fácil. Este es un ataque de hash preimage y depende completamente de la seguridad del algoritmo de hash utilizado por el proveedor de servicios.

Además, asumo que el atacante no pudo leer sus mensajes al servidor o una contraseña cobrada (en ram) durante el inicio de sesión.

EDITAR: incluso cuando el atacante encuentra una contraseña que genera el mismo valor de hash, esta puede ser una contraseña diferente a la que usaste, ya que las funciones de hash no son inyectivas.

    
respondido por el Araeos 25.02.2016 - 04:14
fuente
0

Para responder a esta pregunta, voy a suponer que el proveedor de servicios almacena las contraseñas de manera segura (picado, con sal y pimienta). Ahora la cosa es, las funciones hash no son reversibles. Por lo tanto, si alguien compromete el almacenamiento donde está almacenada la contraseña, aún no tienen su contraseña real.

Hay casi dos posibilidades para romper un hash:

Brute-Force: al codificar todas las contraseñas posibles hasta que termines con el mismo hash. En este caso, una contraseña larga es más segura.

Rainbow-Tables: estas son grandes bases de datos de tipo que almacenan las contraseñas a valores hash. Cuanto más compleja y larga sea su contraseña, menor será la probabilidad de que se encuentre en una tabla de arco iris. (Para las risitas, puede escribir una palabra común como Contraseña o nombres como Beatrice ... con SHA-1 y copiarla en Google. Obtendrá la contraseña original de inmediato de una conocida tabla de arco iris)

    
respondido por el Patrick Braunstorfer 25.02.2016 - 12:17
fuente

Lea otras preguntas en las etiquetas

¿El uso de Ghostery con Privacy Badger afecta el aprendizaje heurístico de PB? ¿No cifra el disco duro, pero hace imposible cambiar las cosas sin una contraseña?