Contraseña del personaje KeePassXC y Yubikey HMAC-SHA-1 vs 40+

0

Observando la implementación del modo Yubikey 4 HMAC-SHA1 para KeePassXC, quiero saberlo:

¿La respuesta de desafío HMAC-SHA1 no es más segura que una contraseña de más de 40 caracteres?

Por lo que sé, el desafío está codificado, por lo que un atacante ya tiene esto. Así que el único secreto es la respuesta, que es 20bytes SHA1.

Una contraseña normal de 40 caracteres tiene 40 * ~ 7 bits (eliminando caracteres no imprimibles / utilizables en ASCII) como secreto utilizable. Por lo tanto, debería ser más seguro, ya que eso da como resultado un secreto de 280 bits en comparación con el SHA1 de 160 bits.

Editar: Suponiendo que ambos, los secretos de Yubikey y los de Contraseña normales se crean utilizando la aleatoriedad real. Así que no estamos hablando de las mejoras sobre las contraseñas típicas de "Contraseña1234".

Si me falta algo, siéntete libre de corregirme.

    
pregunta proc 21.09.2018 - 20:54
fuente

1 respuesta

0

Si el desafío está codificado, entonces sí, la contraseña aleatoria probablemente sea * más segura, pero sin sentido. 128 bits es mucho más allá de nuestra capacidad de forzar la fuerza bruta que realmente no hay necesidad de ir más alto a menos que esté preocupado por muy secretos a largo plazo. Se pueden justificar 256 bits suponiendo generosamente que las operaciones cuánticas eventualmente serán tan baratas como las operaciones clásicas, pero incluso en este caso, los 160 bits de HMAC-SHA1 están lejos de ser triviales.

(*) Un método para evitar los ataques de tiempo en la comparación de cadenas es comparar un hash de cada cadena, si este hash es de 160 bits o más pequeño, estás limitado a tantos bits de seguridad, independientemente de

    
respondido por el AndrolGenhald 21.09.2018 - 21:43
fuente

Lea otras preguntas en las etiquetas