Seguridad de una contraseña aleatoria

Navega tus respuestas
0

i. Si elijo una contraseña aleatoria de longitud, por ejemplo, 15 del conjunto alfabético de tamaño 94, es decir, del espacio de búsqueda de 94 ^ 15, ¿mi contraseña está protegida contra todo tipo de amenazas?

ii. ¿Habrá alguna necesidad de restablecer dicha contraseña en un futuro próximo?

iii. Si la base de datos de contraseñas está bloqueada y comprometida por los atacantes, ¿tengo que cambiar mi contraseña aleatoria?

iv. ¿Cuál debería ser la longitud de la contraseña aleatoria, para que no tenga que preocuparme de que se rompa, se rompa, se adivine lo que sea durante 100 años?

Suponiendo que puedo recordar una contraseña aleatoria de 15 de longitud.

Si tengo que cambiar mi contraseña aleatoria en cualquiera de los casos, ¿qué sentido tiene establecer una contraseña aleatoria?

    
pregunta Curious 17.09.2014 - 12:49
fuente

4 respuestas

6

La seguridad de su contraseña de 15 caracteres generada aleatoriamente depende mucho de cómo se almacena en el sistema que se está violando.

Si el sistema lo almacenó en texto sin cifrar , su contraseña se robará en 0 s.

Suponiendo que el siguiente escenario peor de su contraseña se almacene como un carácter MD5 que se esté hash solo una vez, sin sal , si existe una tabla super arco iris ( ¿más allá del tamaño de yottabyte?) con una profundidad de espacio de búsqueda de 95^15 (olvidó incluir el espacio), su contraseña se descifraría en cuestión de horas o minutos.

Sin una tabla de arco iris, el atacante tendría que forzar su contraseña de forma bruta adivinando una a la vez. Jeff Atwood había escrito un artículo sobre la velocidad de hashing que cito aquí: 

MD5      23070.7 M/s
SHA-1     7973.8 M/s
SHA-256   3110.2 M/s
SHA-512    267.1 M/s

Esto fue lo que una GPU costosa puede lograr hace dos años. Si la ley de Moore continúa pronosticando correctamente durante los próximos 100 años, entonces la velocidad de hashing para MD5 con una GPU, si GPU sigue siendo la herramienta para descifrar hashes, será: 

Year   MD5 hashing (M/s)
2012   23070 
2014   23070 x 2
2016   23070 x 2 x 2 
...
2114   23070 x 2^51 = 5.2 x 10^19

Su espacio de búsqueda de 95^15 producirá 4.6 x 10^29 de posibles hash. Asumamos que el hacker intenta cada uno de ellos en 2114, el número de conjeturas que puede hacer es: 

5.2 x 10^25 x 365.25 days x 24 hours x 3600 seconds = 1.6 x 10^33

Que es más que 4.6 x 10^29 . Por lo tanto, es posible descifrar su contraseña en MD5 antes del final de 2114.

La siguiente consideración es la cantidad de recursos informáticos que tiene su atacante. Si una GPU no es suficiente, ¿puede obtener 10 o incluso 10,000 de ellas?

Finalmente, el descifrado de contraseñas no es gratuito. La GPU consume energía. Tu atacante tiene que pensar, ¿vale la pena? ejecutar esas máquinas durante años solo para forzar una contraseña de forma bruta cuando podrían haber contratado a alguien para que te saque de encima para obtenerla La fracción del costo y el tiempo es una estupidez.

En resumen, su contraseña de 15 caracteres generada aleatoriamente es buena para la década, pero es difícil de decir durante el siglo, siempre que el sistema que almacena la contraseña utilice un hash MD5 o más fuerte y que usted no haya revelado la contraseña accidentalmente .

    
respondido por el Question Overflow 17.09.2014 - 16:32
fuente
2

i) Ninguna contraseña está protegida contra TODAS las amenazas. Si lo escribes y alguien te roba tus notas ...

ii) Podría haber, por muchas razones diferentes.

iii) Sí, dependiendo de si las contraseñas están incluidas o no, el hash de craqueo es bastante fácil. Sin una sal en la contraseña, todo lo que necesita hacer es ejecutarlo contra tablas arco iris.

iv) Nuevamente, esto depende de si las contraseñas están incluidas por la misma razón que la anterior.

Como puede ver, la fortaleza de su contraseña es solo una parte en esta ecuación. La forma en que se almacena es también un factor de seguridad.

En cuanto a la discusión sobre qué hace una buena contraseña, lee esta pregunta

    
respondido por el BadSkillz 17.09.2014 - 13:15
fuente
1

Utilizo un administrador de contraseñas y uso contraseñas de longitud 22 ( porque 22? ) o por mucho tiempo que me dejen. (Mi banco solo permite hasta 15, sekeritah yay)

¿Me preocupo cuando escucho que un sitio que uso sufrió una infracción del centro de datos? No, no me preocupo. Eso es un consuelo de tener una contraseña muy fuerte. ¿Algún hacker puso sus manos en mi hachís? Sí, claro, lo que sea, diviértete chico.

Todavía puedo cambiar mis contraseñas cuando puedo recordar. Si, en última instancia, la pregunta subyacente es: "¿Una contraseña aleatoria de 15 caracteres me proporcionará comodidad, incluso si me roban el hash?"

Entonces mi respuesta es sí.

    
respondido por el Andrew Hoffman 17.09.2014 - 16:00
fuente
-1

@BadSkillz prácticamente lo dijo.

Addendum To Part iv: puede usar la calculadora de “espacio de búsqueda” de GRC para la contraseña de fuerza bruta interactiva a> para estimar cuánto tiempo puede tardar una contraseña aleatoria en ser descifrada. De acuerdo con su situación, deberían ser suficientes de 10 a 12 caracteres de longitud.

Pero ten cuidado: esto se basa en un ataque aleatorio de fuerza bruta. Si su contraseña no es aleatoria, un ataque de diccionario puede ser ventajoso.

    
respondido por el Marcel 17.09.2014 - 13:58
fuente

Lea otras preguntas en las etiquetas

Entendimiento de cifrado y capas ¿Debemos temer a los spammbots que escriben publicaciones constructivas y útiles? [cerrado]