Los medidores de contraseña no son buenos. Bueno, eso es un poco simplista, así que permítanme decirlo con más detalles: una aplicación de "medidor de contraseñas" como la que usó es mental y genérica; lo que mide es el esfuerzo de romper su contraseña, utilizando la estrategia sin sentido y genérica que el autor del medidor de contraseña pensó. En particular, el sistema de medidor de contraseñas no tiene idea de que sus contraseñas se hayan generado al ensamblar palabras tomadas al azar de una lista corta. Sin embargo, un atacante que intente romper su contraseña de lo sabrá y se adaptará: usted lo escribió en un foro público, por lo que se convirtió en información pública.
Un correcto el cálculo de entropía no funciona con el valor de la contraseña real, sino con el proceso mediante el cual se generó la contraseña. Simplemente asumimos que el atacante es consciente del proceso y lo sabe todo, excepto las elecciones aleatorias reales. Con 4 palabras de una lista de 5000, obtiene una contraseña en un conjunto de 5000 4 con probabilidad de selección uniforme (eso es una suposición importante), por lo que la entropía aquí es de 49.15 bits (porque 2 49.15 es aproximadamente igual a 5000 4 ). Con 3 palabras, obtienes 36.86 bits. Para obtener más información sobre el cálculo de entropía, consulte esto contestar .
(La conveniencia de ingresar su contraseña en un "medidor de contraseñas" basada en la Web también es cuestionable. El que usted vincula a afirma que hace todos los cálculos en Javascript y su contraseña no deje su navegador, pero ¿realmente comprobó la fuente de Javascript para asegurarse de ello?)
En cuanto a las contraseñas, 36.86 bits de entropía son bastante buenos. La entropía de las contraseñas seleccionadas por los usuarios promedio es mucho menor que eso. Tal contraseña será rota por un atacante que obtuvo el hash correspondiente SI el hash no se hizo correctamente (por ejemplo, alguna construcción casera con un par de invocaciones SHA-1), pero incluso entonces es probable que otras Los usuarios caerán primero.
Sin embargo , estás haciendo algo realmente mal. Está ahí, en tu primera frase:
Utilizo principalmente 2 contraseñas: 1 es una frase de contraseña en minúscula de 4 palabras de 18 letras de largo que uso siempre que sea posible .
El énfasis es mío; muestra el problema. Estás reutilizando contraseñas. Eso es malo. No reutilizarás las contraseñas. Cuando usa la misma contraseña en los sitios de N , reduce la seguridad de su cuenta en los sitios de todos al nivel proporcionado por el peor de los N . Además, cuando ese sitio sea pirateado y su contraseña sea robada, y su contraseña aparezca en las listas de inicio de sesión + contraseña intercambiada a través de redes P2P, no sabrá qué sitio lo hizo mal. Muchos sitios aún almacenan contraseñas de texto simple (un delito de disparo) por lo que DEBE suponerse que cualquier contraseña ampliamente reutilizada ya se ha filtrado.
Si usa contraseñas específicas del sitio, cualquier daño será contenido al culpable específico. Por supuesto, esto implica algún sistema de almacenamiento de su lado, por ejemplo, KeePass , o un archivo "passwords.txt" de baja tecnología (debe cuidar dónde lo almacena y lo usa, pero eso puede ser administrado con seguridad física decente), o incluso una lista impresa que guarda en su billetera. En la práctica , la separación de contraseñas para la contención de daños será mucho más importante para su seguridad que la entropía de contraseñas.