¿Tiene sentido insertar una palabra extranjera en una paráfrasis para mitigar la fuerza bruta? Por ejemplo: "pussiMeansCatInEskimo" "caballo significa medio" "CatIsGatto" "SalopeMeansBitch" "BitchInFrenchIsSalope" "FoShizzleMyNizzle"
Sí, ayuda, pero quizás no tanto como usted pensaría.
Una contraseña / frase es una secuencia de tokens. En una contraseña, los tokens son caracteres; en una frase de contraseña, los tokens son palabras.
Para aumentar la resistencia de una contraseña / frase a los ataques de fuerza bruta, puedes:
Esto se llama aumentar la entropía de la contraseña / frase.
Un punto importante es que una frase de contraseña (serie de palabras) también es una contraseña (serie de caracteres). Un atacante podría atacarlo como una contraseña o frase de contraseña, y su resistencia al ataque es diferente dependiendo de cómo lo trate el atacante.
Si el atacante lo trata como una contraseña, el factor principal es la longitud (ya que hay pocas fichas utilizadas en las palabras). Si lo tratan como una frase de contraseña, el factor principal es el número de tokens (ya que la longitud es muy corta).
Entonces, ¿deberías usar palabras extranjeras? Bueno, si el atacante la trata como una contraseña, no hace ninguna diferencia. La longitud es la longitud. "chicken" y "oiseau" aumentan la longitud en la misma cantidad, al igual que "skdjnqs" y "aaaaaaa" para el caso. Si el atacante lo trata como una frase de contraseña, entonces hace una diferencia. El uso de palabras en francés e inglés casi duplica el número de tokens posibles. Así que ayuda, pero como mencioné, no tanto como uno pensaría.
Esto se debe a que aumentar la longitud es una técnica mucho más poderosa que aumentar el número de fichas. Una frase de contraseña de tres palabras en inglés tiene una entropía de aproximadamente 40; una frase de contraseña de tres palabras en francés e inglés tiene una entropía de aproximadamente 44, pero una frase de contraseña de seis palabras en inglés tiene una entropía de 81.
De hecho, si ejecuta los números, resulta que agregar una sola palabra adicional en inglés aumenta la entropía de una frase de contraseña a 54, diez más de lo que obtiene al usar dos idiomas. Diez bits de entropía adicional significa que un ataque de fuerza bruta tendrá más de mil veces más tiempo para correr.
Por lo tanto, agregar otra palabra es una forma mucho mejor de fortalecer tu frase de contraseña.
(¡Aunque una forma aún mejor es agregar una pequeña contraseña aleatoria con números y puntuación!)
Por último, mencionaré que las frases en sus ejemplos no son aleatorias, lo que es una debilidad contra los ataques de diccionario generados, por lo que también debería pensar en eso. Quieres algo más como CorrectĈevaloBatteryStaple .
La debilidad de las contraseñas que proporcionaste es que siguen un formulario común . p.ej. extranjero [es | significa] inglés. Y ahora este enfoque está documentado (¡thnaks! ;-)). Prefiero agrupaciones de 4 o 5, no solo 2 o 3 como en tus ejemplos. Si está adoptando ese enfoque, estas agrupaciones deben ser palabras no relacionadas no relacionadas .
Además, mi diccionario creado a partir de urbandictionary.com rompería FoShizzleMyNizzle la primera vez (con mis reglas de manipulación).
Al evaluar la seguridad, mire su contraseña, intente generalizarla mentalmente para formar una estrategia de craqueo, luego identifique las partes que son variables y las partes que son estáticas. Para las partes que son variables, identifique la categoría en la que encajan. Piense acerca de cuán diversa es esa categoría y cuán popular es su elección dentro de ella (las diez palabras principales, por ejemplo, son malas, las secuencias de caracteres que se encuentran juntas, etc.). Esto le dará una idea de cuántas combinaciones podría tener que atravesar un atacante.
Puede que si la palabra extranjera es "Neumonoultramicroscopicsilicovolcanoconiosis". También depende en gran medida del tipo de algoritmo de hash y la implementación de sales. El problema general es recordar contraseñas seguras sin escribirlas. Intenta hacer frases y roba la primera letra. Por ejemplo:
When I was 18 I dated Miranda Kerr for atleast 2 weeks, no seriously = WIw18IdMKfa2wns
Una mejor aplicación manejaría el ataque de fuerza bruta ya sea habilitando CAPTCHA o retrasando la respuesta.
Desde la perspectiva de los usuarios, puede agregar su propio "salt" a su contraseña. "Sal" podría ser cualquier cosa.
Diría que si va a utilizar un conjunto de palabras de diccionario sin caracteres numéricos o de símbolos, entonces debilitará el proceso, especialmente si las palabras están relacionadas de alguna manera. Lo que entonces estarías haciendo es usar palabras como bloques de construcción para tus contraseñas en lugar de letras, lo que no hará que el trabajo de adivinarlas sea un problema, ya que no aumentan la complejidad.
Lo que sería más complejo sería usar palabras del diccionario, o incluso una frase como un bloque de construcción. Si te gusta Duran Duran toma el "Su nombre es rio y baila en la arena". Una forma simple sería usar la primera letra, como en hnirasdots. Pero es demasiado fácil de adivinar si sé que estás usando letras de canciones. Podría alternar usando palabras completas, partes de palabras, etc. como hernisrandsdotsand. Esto se está volviendo cada vez más parecido al texto aleatorio, pero limitarlo a letras minúsculas reduce la complejidad. H3rn15rand5.0tSand sería muy difícil llegar desde un punto de vista de cracking, incluso si sé que estabas usando letras de música como base.
Sin embargo, es mejor usar palabras no relacionadas, preferiblemente de diferentes longitudes, y luego ampliar la base de caracteres lanzando signos de puntuación, símbolos y números. Tome Carros, Set y Nixon y transforme en carr0t.s3t * N1x0n por ejemplo .
En mi opinión, si usa la escritura fonética de otra palabra en un idioma extranjero, sería seguro sin importar qué diccionario (ataque de fuerza bruta) pueda usar un hacker.
Por ejemplo (para usuarios que saben árabe),
Nombre árabe: khaled Saad (para usar este nombre como contraseña)
en fonético: 5aledsa3d (algunas letras en árabe están representadas en números fonéticamente al escribir en el chat)
kh = خ = 5
prueba translate.google.com del árabe al inglés.
Si solo sabes inglés. Intente memorizar muchas contraseñas como pueda, pero no las escriba en ningún lugar.
Lo siento por la respuesta tardía, pero acabo de unirme. Graham tiene buena información, pero requiere un poco de expansión y una corrección. La entropía es una medida de aleatoriedad, no de conjunto de caracteres.
Independientemente de las contraseñas o contraseñas, la longitud es más importante que la complejidad. La complejidad se vuelve más importante si está limitado a una contraseña corta (20 caracteres o menos. Una contraseña de 15 caracteres que usa solo letras minúsculas (26 ^ 15) es más segura que una contraseña de 10 caracteres que usa mayúsculas y minúsculas, números y símbolos) (95 ^ 10).
Ahora, para los "tokens de palabras" forzados por la fuerza bruta, una frase de contraseña de seis token es increíblemente fuerte. Verás, no son seis fichas de un conjunto de 95 caracteres, sino seis de un conjunto que tiene más de 1.2 millones de caracteres. Más de 600 mil palabras en inglés se duplicaron para mayúsculas y minúsculas. No trataremos frases de contraseña que tengan símbolos como "?", Etc.
Ahora la respuesta inicial común es que las personas no usan tantas palabras. Bien, recortemos el diccionario a las 500 palabras más usadas, que son 1,000 con ambos casos de letras. ahora una frase de contraseña de seis palabras es 1000 ^ 6. No es tan fuerte como una contraseña de 10 caracteres que usa todos los conjuntos, pero puede recordarla mucho mejor que la mayoría de las contraseñas complejas. Pero agregue 1 sola palabra oscura y el diccionario puede requerir más de 20,000 palabras (tokens / caracteres) x2 = 40,000.
"¡Por primera vez respondí una pregunta en SX!"
10 "tokens" que requieren un conjunto de tokens extremadamente grande (diccionario), y para un ataque de fuerza bruta simple son 45 caracteres que utilizan todos los conjuntos y son muy fáciles de recordar.
I8 @ ye ol 'pub !!! 17 caracteres, fácil de recordar y repelente de diccionario.
¡No todas las fichas son iguales!
Lea otras preguntas en las etiquetas passwords brute-force entropy passphrase