¿Cuánto más fuerte se vuelve una contraseña basada en párrafo / oración con caracteres aleatorios agregados?

Navega tus respuestas
0

Estaba leyendo algunas preguntas aquí con respecto al método correct horse battery staple , y la conclusión fue que, asumiendo cualquier palabra en la lista de las palabras más comunes en inglés, cada palabra agrega aproximadamente 10-11 bits de entropía, por lo que el método XKCD Fue relativamente correcto en su conclusión.

Ahora, ¿cuán segura sería esa contraseña si añadiera ruido aleatorio (ruido aleatorio real, generado a partir de un PRNG adecuado) a esa cadena? Digamos, por ejemplo, tenía correct horse battery staple como mi contraseña (ignorar el hecho de que esta oración es bastante común) y luego agregué algo de ruido, así que obtengo 3orrezt hors bat8ery s9appe@ . ¿Cuánto más seguro se hizo en realidad ? ¿O no tiene sentido preocuparse por este tipo de cosas de todos modos?

Además, ¿qué hay de agregar una contraseña pequeña dentro de la oración más grande, por ejemplo, correct $58j#O1, battery staple ?

    
pregunta MKII 21.08.2015 - 23:43
fuente

2 respuestas

1

Use suficiente entropía, entonces no hay nada de qué preocuparse.

Para una contraseña de 80 bits solo elige 8 palabras al azar.

Usando tu 

correct $58j#O1, battery staple

con CSPRNG, suponiendo que la sección de su contraseña se encuentra en todo el rango de caracteres (96 caracteres), entonces tiene 10 bits + 6.5 * 7 + 10 + 10 = 75.5 bits.

Ambos están bajo el supuesto de que el atacante conoce su método de generación. En realidad no lo hacen, así que esto agrega una cantidad inconmensurable de entropía para un ataque no dirigido.

    
respondido por el SilverlightFox 22.08.2015 - 00:22
fuente
1
  • En ambos ejemplos, se hizo significativamente más fuerte.
  • Sin embargo, el original era casi lo suficientemente fuerte
  • Y al agregar la aleatoriedad, generalmente infla el valor de "fácil de recordar / escribir" en la contraseña del estilo diceware / xkcd
  • si necesita más entropía, agregue más palabras o use un administrador de contraseñas con una contraseña completamente absurda.

El cálculo de Silverlight Fox usa la medida zxcvbn, que asume que el atacante conoce su método. Como dijeron, en realidad no lo hacen, por lo que efectivamente moviste el espacio de ataque del gran espacio de software de dados, al espacio de fuerza bruta completa, para una contraseña de longitud XX.

Pero obtienes casi el mismo beneficio al agregar un SINGLE RANDOM CHAR en cualquier parte de la lista que no sea parte de la lista de software de dados. Una vez que haya agregado ese carácter único, los caracteres adicionales agregan 6,5 bits de entropía cada uno, pero ya aumentaron enormemente la dificultad de descifrar la contraseña

    
respondido por el Jason Coyne 22.08.2015 - 04:26
fuente

Lea otras preguntas en las etiquetas

¿Por qué los navegadores no tienen funciones integradas para verificar la integridad de las descargas? [cerrado] Usar PIN o Contraseña [duplicar]