¿Puede ser perjudicial usar contraseñas muy largas y complejas con cuentas en línea? [duplicar]

-1

En el caso de una violación de datos, las contraseñas largas y complejas pueden atraer más atención que las más simples y el atacante puede priorizar las cuentas con las contraseñas más sofisticadas. Dado que " generalmente se acepta que 128-bit de entropía está más allá de la capacidad de fuerza bruta de cualquiera ", muy lo más probable es que los complejos complejos de paso no proporcionen seguridad adicional, pero ¿existe alguna razón para creer que tales contraseñas pueden ser incluso peligrosas de usar?

.7¬£É6wÈ7%$»ª-$¢EÁº.¢vcnK=L´=sís(:ã^¤íñþp_}01çxfè§ä¬zAý¦jþ²¨¨ä'BÁ!A´Ú;çO5ý{ªõtqvuÄÃyJh6r5×ÓôJ¾/^:'Þkã+ìÃÔ«^Ôdf¡bSÞÃÆ1îP;K§IëüèEfrNÑvÛ]4ÁC¨Â{TaqÑ?û~ÑZ¼XÍSñiêkæ'úñ0CÃ?Ť^-ÞéBÊoó·*|èhýþKîzô¤³MCyªaúïÐæW,¦¾Ë"æmUò³CZ'!Õ¿¡6õ´[Å^7UÂùð8WW\ÇÎ߸÷O$YýyqîHY-×±T÷ù;V±Çͤöò0Vp9ñþü3Ä7·OhöP/õ6sãuI<£è5eebë¬ÔgUÑÕã~DN0f>çÃþL¥²¦'êäS[d;PÂ~[ZóÇ/aÀÃ!þÚåÔ£r@#'\´Z(h(½BàæÎ_¦¸-ÅÒcâhA+iAç÷×éê,'ºL}³ãm ·~9P¼¦hõkSìE'Á}-aoucõ¨Æ¯X¶6±¬tû¸=bg?êàòálqµ\í 2Õx:µ¾;AþTËÛë¬É«g<äúÈlõby=¾Uc×çBÙg!ÅTß+ç2K3ÛÌÄ6MY4]¡êùÒÝ´ôþ÷/k~T.>ó}¹jÉú0ï+¶

una contraseña compleja de 500 caracteres

    
pregunta user598527 02.07.2017 - 16:32
fuente

3 respuestas

3

En tu ejemplo no. La mayoría de los sitios utilizan algoritmos de clave basados en contraseña, que son una forma de función hash que toma como entrada la cadena de texto sin formato (la contraseña real). El resultado de estas funciones suele ser una salida de cadena de longitud fija (puede variar con sha3) y, por lo tanto, cualquier atacante que mire las contraseñas almacenadas ve la misma longitud independientemente de la longitud real de la cadena original.

    
respondido por el ISMSDEV 02.07.2017 - 16:57
fuente
1
  

¿Puede ser perjudicial utilizar contraseñas muy largas y complejas con cuentas en línea?

Estoy seguro de que la contraseña de ejemplo anterior sobrevivirá a cualquier ataque de diccionario, así como retrasará el éxito de la fuerza bruta durante bastante tiempo. Sin embargo, no es muy fácil de usar y tendría que estar escrito en algún lugar, ya sea en forma electrónica o física.

Ambos tienen debilidades. Escribirlo es propenso a errores humanos, mientras que la forma electrónica de un dispositivo conectado a Internet es propensa a robos de forma remota. Por supuesto, ambos también pueden ser robados a mano ...

Entonces, para responder a tu pregunta, sí, puede ser perjudicial. Si bien fortalece un aspecto de seguridad, falla completamente en el otro.

P.S. De acuerdo con las respuestas anteriores con respecto al hash, la contraseña de 1 carácter o 500 caracteres proporcionaría la misma cadena de hash.

    
respondido por el user633551 02.07.2017 - 19:18
fuente
1

todas las contraseñas están en hash, por lo que el atacante ve la misma longitud. Tenga en cuenta que si una contraseña es forzada de manera bruta, el atacante obtendrá la primera contraseña con el mismo hash, que es casi seguro que no es la contraseña de 500 caracteres. Si hay un hash de 128 bits, debe existir una contraseña con un promedio de alrededor de 16 caracteres con ese hash, por lo que estos caracteres adicionales francamente no proporcionan seguridad adicional. Peligroso: no, desde una perspectiva computacional pura.

    
respondido por el camelccc 02.07.2017 - 19:53
fuente

Lea otras preguntas en las etiquetas