Últimamente he estado siguiendo la tendencia de usar contraseñas que son oraciones, al menos en sitios que tienen una longitud de caracteres máxima razonable y permiten espacios. Así, por ejemplo, la variación más básica es 'Esta es mi contraseña' o 'Este es mi < insertar sitio web aquí > contraseña.' Parecía bastante tonto memorizar un grupo de palabras al azar en lugar de simplemente construir una oración, que es mucho más fácil en la memoria muscular. ¿Es esto más fácil de predecir?
Hagamos un poco de matemáticas y estudiemos el idioma para ver cómo se compara con el requisito de contraseña estándar de 8 caracteres superior, inferior, número y símbolos.
Ahora vamos a ser rigurosos, por lo que asumimos que el atacante sabe que usted usa una oración como contraseña y que solo intenta romperla basándose en esa información. También sabe que usted no usa espacios, mayúsculas o puntuación en la oración. También estoy ignorando intencionalmente la gramática y la sintaxis, ya que es demasiado complicada y no proporciona mucha información a un atacante, aparte de que algunas palabras aparecen principalmente al principio y al final de una oración.
Si bien hay un millón o más de palabras en el idioma inglés, las personas no las usan ni las conocen. La persona promedio utiliza alrededor de 500 palabras únicas en un día, y se cree que una persona promedio necesita entre 1500 y 2500 palabras en su vocabulario para comunicarse efectivamente durante un período prolongado de tiempo. La persona promedio también sabe de 15,000 a 20,000 palabras que usa con poca frecuencia.
Así que probemos esos números con una oración de 5 palabras:
El estándar para comparar es 95 ^ 8 = 6.6 x 10 ^ 15
500 ^ 5 = 3.1 x 10 ^ 13
1500 ^ 5 = 7.6 x 10 ^ 15
2500 ^ 5 = 9.8 x 10 ^ 16
De esto podemos concluir que utilizando el vocabulario ampliado del hablante de inglés promedio, podemos crear una contraseña que sea tan resistente a los ataques especializados como lo es el estándar de la industria para una fuerza bruta. Sin embargo, sería significativamente más resistente a esa misma fuerza bruta, 26 ^ 16 = 4.4 x 10 ^ 22. (Utilicé 16 como una longitud promedio de 5 palabras)
Tome todo esto con la misma mentalidad que una contraseña normal. La contraseña "P @ 55word" tiene todas las características de una contraseña segura pero es totalmente insegura. Lo mismo sería cierto para una oración clave como "ilovemygirlfriendmelissa", especialmente con un poco de reconocimiento de redes sociales en el objetivo.
Estoy seguro de que algunos expertos en seguridad no estarán de acuerdo con esto, pero nuevamente el experto en seguridad citado en otra respuesta en esta página aboga por escribir contraseñas, así que asumo que nunca estarán de acuerdo como la mayoría de los expertos.
Últimamente he estado haciendo la tendencia de usar contraseñas que son oraciones
Los llamamos frases de contraseña ;-)
al menos en sitios que tienen una longitud de caracteres máxima razonable y permiten espacios
Todos los sitios web deberían permitir eso. Póngase en contacto con un administrador y rechace la creación de una cuenta si no lo hace. Deben almacenar las contraseñas en un formato de longitud fija (la técnica se llama "hashing"), lo que hace que, para ellas, no haya diferencia entre una frase de contraseña de 200 palabras y una contraseña de 3 caracteres. Ambos se convertirían a una pieza de datos de longitud fija mediante hashing . El hecho de que ciertos caracteres no estén permitidos indica que sí importa la contraseña que ingrese y, aunque podría estar bien, apesta a malas técnicas de almacenamiento de contraseñas.
la variación más básica es 'Esta es mi contraseña' o 'Este es mi < insertar sitio web aquí > contraseña. '
Está bien, pero recuerda que son solo eso: "variaciones básicas". No son seguras y se deben usar para cuentas inútiles y desechables solamente (como una temporal para ver un artículo, para descargar algo de Oracle, o lo que sea).
Las frases de contraseña funcionan mejor cuando están compuestas de palabras aleatorias. Nosotros, como seres humanos, somos malos en el azar y no podemos elegir un elemento aleatorio de todo nuestro vocabulario. Sería mejor tomar un diccionario de papel y tirar dados para encontrar una página aleatoria y una palabra aleatoria en esa página.
Si no tienes un diccionario a la mano, tratar de inventar frases aleatorias con construcciones ilógicas (por ejemplo, "mente roja y roja de Twitter") es un sustituto razonable.
Debería desconfiar de los servicios en línea que ofrecen generar contraseñas para usted. Incluso si no lo hacen, técnicamente podrían almacenar la contraseña que generó para usted, o elegir la contraseña "aleatoria" de una lista de solo unos pocos cientos de posibilidades (y sí, unos pocos cientos son muy pocos porque las computadoras se ejecutarán). todas esas posibilidades en muy poco tiempo).
Parecía bastante tonto memorizar un grupo de palabras al azar en lugar de simplemente construir una oración, que es mucho más fácil en la memoria muscular. ¿Es esto más fácil de predecir?
Parece que ya he respondido esto, pero reiterando: Sí, las oraciones son más fáciles de predecir que las palabras aleatorias. El punto de una contraseña o frase de contraseña es ser algo que solo tú sabes. Usar frases que tengan sentido para nosotros limita el número de posibilidades, haciendo que sea más fácil de adivinar. Simplemente es más probable que la palabra "rojo" siga después de "la" y no después de "papa" ("algo rojo" contra "papa la").
Según Bruce Schneier :
Esta es la razón por la que se cita el esquema XKCD para generar contraseñas: unir palabras individuales como "correcthorsebatterystaple" - ya no es un buen consejo . Los crackers de contraseñas están en este truco.
El esquema XKCD usa contraseñas largas compuestas de palabras aleatorias. Lo que es cierto acerca de las oraciones construidas a partir de palabras aleatorias es doblemente así como las oraciones reales.
Lea otras preguntas en las etiquetas passwords