Uso de los resultados de búsqueda de Google para determinar la seguridad de la contraseña

10

Google es un repositorio de datos de Internet, ya que indexa una gran cantidad de datos. Utiliza un servicio de predicción para determinar el resto de la consulta de búsqueda.

Con un repositorio tan grande en su lugar, ¿podemos aprovecharlo para determinar la fortaleza de la contraseña?

¿Podemos usar la contraseña como una consulta de búsqueda para determinar su popularidad? Según la cantidad de visitas que recibimos por la contraseña, ¿podemos darle una puntuación a la contraseña? ¿Es este modelo factible?

Creo que las contraseñas que son populares, ocurren con más frecuencia en las páginas web o como consultas de búsqueda. Esto no significa que a las palabras raras de menor longitud se les dará una puntuación fuerte. Esto es por razones obvias, las contraseñas más pequeñas se pueden buscar por fuerza bruta o se pueden consultar en un tiempo finito.

Creo que este modelo funcionará bien para determinar la fortaleza de las contraseñas más largas que se adhieren a un lenguaje natural como el inglés.

¿Este enfoque para medir la fortaleza de la contraseña es trivial? O, en otras palabras, ¿hay algún ataque fácil si tal modelo se usa para medir la fortaleza de la contraseña?

Nota: si hay un problema de confianza con Google, suponga que podemos crear nuestro propio servicio.

Editar: Investigación ( enlace ) ha demostrado que la mayoría de los Los medidores de fuerza desplegados hoy engañan a los usuarios al crear las contraseñas. Usando un repositorio de motores de búsqueda como Google, ¿podemos medir la fortaleza de la contraseña con mayor precisión? Habrá falsos positivos, como han señalado muchos, pero ¿no será mejor que los medidores de fuerza existentes?

    
pregunta Curious 16.01.2015 - 13:04
fuente

5 respuestas

28

Hay mucha investigación sobre qué contraseñas son "populares". Puede encontrar mucho de esto aquí: enlace

No tiene forma de saber qué hace Google con las consultas. Es casi seguro que tales consultas se registran y están asociadas con la dirección IP de origen. Eso significaría que Google tiene una lista de las contraseñas que probaste. Un empleado de Google puede utilizar incorrectamente esa lista y puede estar sujeta a una orden de registro, citación, descubrimiento o alguna otra demanda legal: enlace

Si fuera Google, estaría buscando términos de búsqueda que no produzcan resultados; Así es como escriben las reglas que les permiten hacer su magia. Por lo tanto, es probable que su práctica llame la atención de los investigadores de Google.

Finalmente, para determinar si hay un ataque fácil, los atacantes de contraseñas primero prueban listas de palabras de varios tamaños, luego atacan la fuerza bruta y los ataques heurísticos. Las contraseñas cortas que no estén en ninguna lista o en los índices de Google caerán a la fuerza bruta. Las contraseñas más largas pueden caer en heurísticas. Ars Technica hizo una serie de artículos sobre esto. El más relevante está aquí: enlace

Déjalo.

    
respondido por el Bob Brown 16.01.2015 - 14:28
fuente
19

No hay ningún resultado para una búsqueda de Google en el "pa55w0rd987" de fuerza extremadamente baja: enlace

Además, Google solo puede informar datos conocidos, y hay muchas contraseñas muy malas que, sin embargo, no aparecen en ningún sitio web.

Por estas razones, afirmo que Google no es una herramienta útil para verificar la seguridad de la contraseña. (Lo mismo sucedería con Bing y otros sistemas de búsqueda).

    
respondido por el Joe DeRose 16.01.2015 - 20:06
fuente
10

Cualquier contraseña suficientemente segura (y muchas contraseñas insuficientemente seguras) tendrá 0 aciertos en Google, así que, no, no es realmente un método viable. Si su contraseña se compone completamente de palabras en inglés, se puede forzar con fuerza bruta con un ataque de diccionario . Si una contraseña tiene algún resultado de Google, es casi seguro que no es lo suficientemente segura, pero la falta de resultados de Google no significa que sea seguro.

Además, lo ideal es que nunca envíes tu contraseña por cable a nadie. Y definitivamente no sobre una conexión sin cifrar. La forma correcta de transmitir una contraseña es hacer un hash primero para que incluso la persona que recibe el hash nunca sepa cuál fue la contraseña original. Por supuesto, todavía existen muchos sitios web que no usan la forma correcta, pero eso es otra cuestión. Siempre me estremezco cuando me inscribo en una cuenta con algún sitio web y me envían un correo electrónico de confirmación que incluye mi contraseña en texto sin formato. facepalm

    
respondido por el reirab 16.01.2015 - 20:29
fuente
2

Advertencia: existen graves problemas de seguridad al enviar contraseñas desde su red directa, especialmente a Google. ¡Hazlo solo si de alguna manera no es un problema para ti! (Es decir, estás trabajando en un contexto de seguridad aislado que, de todos modos, depende en gran medida de Google).

El usuario @PlasmaHH hizo el comentario muy claro: "¿Cuál es más fuerte, 2z63hg79fg79 o tf3m89j67hw396g3qh96g3q8b9? Ambos tienen la misma cantidad de google hits."

Lo que es, por supuesto, cierto.

Pero: en la práctica, puedes usar eso como un criterio de pre-filtro. Cualquier cosa que tenga un hit en google, no debería permitirse como contraseña.

La fuerza de las contraseñas aprobadas en su prueba, pronto se puede medir mediante un examen relativamente simple basado en la entropía, o mediante un cálculo mínimo de la distancia Levenshtein por los títulos de los artículos de wikipedia ( aquí es mi idea sobre este tema).

    
respondido por el peterh 17.01.2015 - 01:28
fuente
1

Los resultados de una contraseña en una búsqueda de Google por sí mismos no son muy indicativos de su fuerza. Otros ya han dado ejemplos de contraseñas de poca fuerza que no tienen aciertos.

Dicho esto, me pregunto si hacer una búsqueda en Google con el nombre de usuario (o el nombre real, si se conoce) podría ser una buena idea. Las palabras que aparecen con más frecuencia que algún umbral en el primero, por ejemplo, tres páginas de resultados podrían rechazarse como potencialmente fáciles de adivinar. Hasta cierto punto, los resultados se adaptarían a cada usuario, pero esto podría hacer que una defensa interesante contra un atacante sea algo más determinada de lo que es típico.

    
respondido por el The Spooniest 17.01.2015 - 16:42
fuente

Lea otras preguntas en las etiquetas