Estoy escribiendo un consejo para seleccionar una contraseña maestra para un administrador de contraseñas, y me pregunto si hay datos disponibles sobre la probabilidad de ataques diferentes que resulten en una contraseña resquebrajada. Me interesan los datos relevantes para lo que un usuario puede controlar con la contraseña en sí (por lo tanto, algo como el phishing no está en mi radar, ya que la vulnerabilidad es el usuario en lugar de la cadena de caracteres en sí).
Entonces, para una contraseña segura, creo que lo recomendaré, en orden descendente de importancia:
- longitud (fuerza bruta)
- singularidad (fuerza bruta inversa, nombre de usuario / contraseña coincidentes del sitio A pirateado para asegurar el sitio B)
- impersonalidad (adivinanzas basadas en datos personales conocidos)
- facilidad de memorización (indirectamente relevante; los tres primeros hacen que una contraseña sea difícil de recordar, por lo que debe decidir si va a sacrificar esos para recordar mejor o si va a escribirla y corre el riesgo de que el papel sea robado )
Tengo una extensión en la parte superior porque 1) la investigación generalmente la cita como la mejor y más fácil manera de hacer que una contraseña sea más segura y 2) en mi experiencia, los ataques parecen ser masivos / aleatorios más de lo que están destinados a un promedio usuario final.
Sé que hay un montón de advertencias; El modelo de amenaza para el correo electrónico de un político de alto nivel es diferente al Facebook de un adolescente. Tal vez confíes en tu caja fuerte más que en tu memoria. Pero, ¿hay datos relevantes que respondan esta pregunta en un nivel alto?
EDIT para reformular la pregunta:
Si debo hacer una compensación en la fuerza de mi contraseña en algún lugar (como para hacer que mi contraseña sea más fácil de recordar, la acortaré o usaré mi fecha de nacimiento en lugar de números aleatorios) , ¿qué ataque debe tratarse como más probable para el usuario promedio de una aplicación web convencional?