¿Cuánto ayudan los caracteres inusuales en las contraseñas?

Navega tus respuestas
0

Si utilizo un sistema que permite todos los caracteres Unicode o un espacio similarmente grande para las contraseñas, ¿cuánto usaría un personaje inusual en la práctica (por ejemplo, que encontré bajo Mandaic y no se reproduce correctamente en Firefox) para mi)? Entiendo que, en teoría, un atacante que realice un intento de fuerza bruta probablemente determinará el espacio del personaje y usará la totalidad de los personajes posibles. Pero, ¿es esto común en el software de craqueo de contraseña? ¿Es probable que alguien intente usar la fuerza bruta en un espacio de caracteres grande, o es más probable que opte por los frutos de alfanuméricos y quizás incluya caracteres especiales que se ingresan fácilmente en un teclado?

Entiendo que La seguridad a través de la oscuridad es mala y confiar en esto como el único método para elegir una contraseña es una mala idea y no debería elegir una contraseña de 1 carácter, asumiendo que nadie Probaría mi personaje. Pero tengo curiosidad por saber si alguien tiene información sobre qué tan segura es la contraseña, algo como "ᏯᏯᏯᏯᏯᏯᏯᏯ" se basaría en cómo funcionan realmente los hackers.

    
pregunta thunderblaster 23.12.2014 - 19:02
fuente

2 respuestas

3

Técnicamente, los caracteres son solo secuencias de bytes. Entonces, si bien ese personaje puede parecerte increíblemente exótico, no tiene nada de especial. Puede ocupar algunos bytes más que, digamos, un carácter ASCII (dependiendo de la codificación), pero eso es todo.

Por supuesto, es probable que un atacante comience con la fruta de baja altura (palabras de un diccionario, solo dígitos, caracteres alfanuméricos, etc.). Pero después de esto, es muy posible que cambien a bytes en bruto, y luego lo único que te protege es la entropía real de tu contraseña. De donde provienen los bytes es irrelevante. En lugar de los caracteres Unicode exóticos, también puede utilizar una cantidad igual de caracteres ASCII.

Otro problema con Unicode es que no es totalmente compatible con todas las aplicaciones. Algunos no lo admiten en absoluto, otros solo admiten el BMP. Eso significa que existe un cierto riesgo de que su contraseña sea dañada de alguna manera, si es que es aceptada.

Entonces, para responder a su pregunta: Sí, hay un beneficio si asume que el atacante solo perseguirá a los “caracteres estándar”. Pero es mejor cuidar la fuerza bruta (nivel de byte). Por ejemplo, generalmente genero 16 bytes aleatorios y los codifico como 32 dígitos hexadecimales. Esto proporciona la máxima seguridad y compatibilidad al mismo tiempo.

    
respondido por el Fleche 23.12.2014 - 20:17
fuente
1

Cuanto más grande sea el espacio de búsqueda, mejor. La pregunta es si usar caracteres oscuros es práctico. ¿Cuántos sitios incluso aceptarían caracteres inusuales? Es probable que a un cracker le resulte más fácil explotar alguna vulnerabilidad que lo lleve al sistema que intentar contrarrestar las contraseñas de fuerza bruta. Dicho esto, hacer una contraseña el mayor tiempo posible es un enfoque más práctico.

    
respondido por el Ben 24.12.2014 - 17:56
fuente

Lea otras preguntas en las etiquetas

Seguridad del código php en el servidor web - ¿ofuscar? ¿Se puede usar una red de bots para romper de manera efectiva las claves de cifrado?