Muchosdenosotrosestamosfamiliarizadosconestecómic.Situvieraunapalabracomo"bagre" y la repitiera una cantidad arbitraria de veces, digamos n , sería teóricamente más fuerte. ¿No?
Un error que pude ver es los ataques de diccionario con múltiples valores de n, pero parece que esto podría no ser lo ideal. ¿Qué sucede si se selecciona una cadena más arbitraria como "ca4f1sh!"?
El problema con la selección de una contraseña basada en cualquier patrón es que, si el atacante conoce el patrón, puede eliminar un número relativamente grande de posibles contraseñas que de otro modo tendrían que probar.
Es por esto que abogamos para que las contraseñas se generen al azar tanto como sea posible. Las únicas restricciones que podría poner en la generación aleatoria son:
Esos ayudan a asegurar (aunque, estrictamente, no garantizar) que el generador aleatorio no escupirá involuntariamente una contraseña que probablemente se encuentre en los diccionarios o en las tablas del arco iris. Sin embargo, donde se puede evitar, no queremos agregar restricciones como estas:
Esto en gran medida reducirá el espacio de búsqueda para un atacante que conoce su esquema de generación de contraseña. Es posible que aún puedas esquivar a aquellos que solo buscan en la base de datos las contraseñas que pueden romper fácilmente. Pero será mucho más vulnerable a un atacante dedicado e ingenioso que lo está atacando específicamente (algunos llaman a esto una "Amenaza Persistente Avanzada" o "APT"), o si su método en particular se vuelve común entre otros usuarios y la gran escala los atacantes ajustan sus métodos para compensar.
La verdadera generación aleatoria de contraseñas, con muy pocas restricciones para evitar la salida accidental de contraseñas débiles, es la única forma de asegurarse de que su contraseña sea lo suficientemente fuerte como para resistir prácticamente a cualquier atacante. Por supuesto, todo esto supone que los mecanismos de almacenamiento y transmisión de contraseñas también son razonablemente seguros, pero eso está fuera del alcance de esta pregunta.
En resumen: una contraseña basada en una sola cadena repetida varias veces, siempre es más vulnerable a un ataque dedicado que una que tiene la misma longitud y se genera aleatoriamente en todas partes.
Repetir la palabra "bagre" varias veces hace que la contraseña sea más segura que cualquier "pez gato". Como no hay forma de saber que repitió la palabra o cuántas veces se repitió, es lógico que la contraseña sea realmente segura. Como lo describen otras explicaciones del cómic xkcd, si se eligiera un grupo de palabras aleatorias usando un método aleatorio verdadero, sería posible tener palabras repetidas. El hecho de no repetir palabras a propósito en realidad reduce la seguridad de la contraseña, ya que ya no es realmente aleatorio.
En teoría, esa es una contraseña "más fuerte" contra los métodos de fuerza bruta que un simple bagre. Pero también aumentas otros riesgos:
Navegación por el hombro: si un atacante te descubre al escribir tu contraseña, incluso 'ca4f1sh!', una y otra vez es bastante al este para recordar los caracteres 7ish en un orden lógico y simplemente ir a casa e intentar acceder a Gmail con varias repeticiones 'ca4f1sh!'
Contraseñas repetidas: uno de los peores escenarios absolutos a los que esto lo haría más vulnerable, aunque es cierto que no es probable, es una búsqueda de tabla de arco iris inversa en la que otra persona podría haber utilizado su contraseña. agrietado en una mesa de arco iris. No es probable, pero con contraseñas simples y repetidas es ciertamente posible y solo se necesita un diccionario.
Así que sí, tiene mayor entropía. Pero después de un cierto punto, la compensación por una mayor entropía se ve mitigada por el aumento de los riesgos planteados por otras razones. Lo mejor que puedes hacer es crear una excelente contraseña para un administrador de contraseñas como KeePass y luego usar 15-20 contraseñas aleatorias para todo lo demás.
Para la "gran" contraseña, use una cita poco clara y cámbiela por una contraseña. Aquí está la idea, pero puede encontrar mejores guías en otros lugares: enlace
Lea otras preguntas en las etiquetas password-policy