¿Qué tan efectivo es un algoritmo básico de modificación de contraseña en comparación con la reutilización de contraseña?

Navega tus respuestas
0

La reutilización de la contraseña es mala por muchas razones. Los sistemas más seguros requieren cambiar una contraseña regularmente para evitar su reutilización.

Una posible solución para esto es un esquema de generación de contraseña. Imagine una contraseña base y un algoritmo simple para modificarlo con base en una contraseña muy simple o corta que se compone cada vez. La versión más simple es agregar la contraseña corta a la contraseña base.

En cuanto a la versión más sencilla, tengo una contraseña base foo y para cada sitio web se me ocurre alguna palabra fácil de recordar, no demasiado segura, para modificarla. Así que mi contraseña para gitlab se convierte en fooGit y mi contraseña para facebook es fooFace , etc. Para lugares que requieren cambiar las contraseñas cada mes, podría ser tan simple como fooOne , fooTwo , fooThree etc, algo fácil para recordar modificaciones cada mes.

Suponiendo que foo es en realidad una contraseña relativamente segura, ¿qué tan seguro sería un enfoque como este?

Si el algoritmo que mencioné fuera tan trivial como lo que mencioné, sería fácil para alguien que obtiene su contraseña anterior adivinar una nueva contraseña. Sin embargo, alguien tendría que tener acceso a al menos dos contraseñas alternativas para averiguar si está usando un algoritmo como este, e incluso entonces tendrían que adivinar el valor que se le atribuye. Carecerían de las tablas de arco iris para su algoritmo de contraseña, por lo que, a menos que puedan adivinar cuál es su próxima contraseña, tienen medios limitados para atacar su contraseña, supongo.

Mi opinión es que este enfoque llevaría a un enfoque relativamente seguro, a pesar del potencial para adivinar las contraseñas una vez que alguien descubra el algoritmo. Mi razonamiento es básicamente que nadie está buscando este algoritmo y, por lo tanto, es probable que pase desapercibido. ¿Es eso cierto, o los atacantes son conscientes de que las personas intentan algo como esto e intentan explotarlo activamente?

Si el algoritmo fuera un poco más complejo que 'simplemente agregue los dos valores ", pero aún lo suficientemente simple como para hacerlo rápidamente en la cabeza, ¿eso haría algo para aumentar su seguridad?

    
pregunta dsollen 10.07.2017 - 15:52
fuente

2 respuestas

1
  

Mi razonamiento es básicamente que nadie está buscando este algoritmo y, por lo tanto, es probable que pase desapercibido. ¿Es eso cierto, o los atacantes son conscientes de que las personas intentan algo como esto e intentan explotarlo activamente?

No, eso no es cierto; y sí, los crackers de contraseñas están intentando cosas como esta e intentan explotarla activamente.

Este enfoque básico es probablemente la forma más común en que las personas intentan crear contraseñas únicas para cada sitio, cuando se molestan en absoluto. No intento activamente descifrar contraseñas, pero asumo que hay reglas de manipulación de contraseñas listas para varios patrones comunes, dado un sitio web y una lista de contraseñas, para conectarlas a las herramientas de descifrado.

Su razonamiento podría ser bueno en la superficie, suponiendo que un atacante solo pueda intentar iniciar sesión en el sitio web como lo hace usted, obteniendo alrededor de una suposición cada 10-15 segundos aproximadamente. Pero no es no la forma en que se roban las contraseñas en estos días. Normalmente, un hacker roba una base de datos de un sitio web, publica la base de datos en línea (o la vende), y luego alguien viene con una plataforma de GPU de lujo y prueba 300,000,000,000 de contraseñas por segundo sin bloqueos u otros controles de software.

O la base de datos robada es texto plano.

De cualquier manera, si obtienen una contraseña para Dropbox o LinkedIn, y la regla de mutilación resulta ser una de las más comunes, sería bastante fácil obtener sus otras contraseñas.

Usted podría tener suerte y quienquiera que obtenga su primera contraseña no se molestará en dedicar unos minutos adicionales a encontrar la contraseña "básica" para conectarse a otros sitios, o puede que no.

Definitivamente estás mejor que usando exactamente la misma contraseña en todas partes. Pero un enfoque mucho mejor es usar un administrador de contraseñas con contraseñas aleatorias para cada inicio de sesión.

    
respondido por el Ben 10.07.2017 - 17:02
fuente
1

Suponiendo que la complejidad de las contraseñas es bastante compleja, obtendrías un nivel de complejidad de contraseñas decente, lo suficiente como para hacer que la fuerza bruta sea muy difícil, pero aún así será fácil de recordar.

Como tal, es bastante adecuado para sitios de valor medio a bajo, es decir, no es su banco o correo electrónico, probablemente no sea su red social.

Sin embargo, tarde o temprano, un sitio para el que lo uses estará comprometido y lo almacenarán como un hash md5 sin sal y se romperá.

En ese punto, la complejidad de la segunda parte se vuelve crítica. Si es tan simple como las primeras 4 letras del dominio, entonces puede comprometer todo el algoritmo y todos sus inicios de sesión.

Literalmente, millones de grietas de contraseñas de violaciones están en el dominio público y son analizadas por sombreros blancos y negros para este tipo de cosas.

El solo uso de un algoritmo simple probablemente lo coloca en el primer porcentaje de dificultad y un poco más complejo, por ejemplo, cara = > gbdf más un valor decente de foo probablemente te ponga aún más alto.

A pesar de que la falta de reutilización previene el relleno de credenciales básicas, cualquier algoritmo lo suficientemente fácil de recordar y computar fácilmente por una persona es susceptible de análisis automatizado de los datos de violación existentes. El relleno de credenciales distribuido es increíblemente difícil de detectar y, si bien su patrón es mejor que la mayoría de los usuarios de Internet, probablemente sería mejor usar un administrador de contraseñas.

También puedes registrarte en enlace

Esto le notificaría si su patrón fue expuesto en una violación pública.

    
respondido por el ste-fu 10.07.2017 - 16:45
fuente

Lea otras preguntas en las etiquetas

encontró un registro de Apache muy sospechoso: ¿alguien está intentando piratear? Administrador de contraseñas: ¿contraseña maestra o no?