Supongamos que en lugar de usar, digamos, Google, let me in! como mi contraseña de Google, usé una transformación consistente de esta cadena, digamos ZWE1NjMyNm ?
¿Qué palabras clave de búsqueda serían útiles para buscar información sobre la idea general de usar "transformaciones previas a la contraseña" como contraseñas?
Nunca he oído hablar de un nombre específico para estos tipos de transformaciones de contraseña. Sin embargo, a menudo implican el uso de una "contraseña maestra" y una "contraseña del sitio". Puede hacer una búsqueda basada en esos términos y filtrar los resultados irrelevantes.
Aquí hay algunos ejemplos de esquemas similares que se implementan a través del software:
Lo que describe es una contraseña ingeniosa : una contraseña que se basa en que el usuario conoce algún método de generación específico.
Esto es malo. Las contraseñas ingeniosas no son contraseñas seguras; Ellos son más bien todo lo contrario. Cuando utiliza una "contraseña ingeniosa", confía en que el atacante sea menos inteligente que usted. A pesar de la confianza en sí mismo, esto siempre falla. Los atacantes conocen estos métodos de generación de contraseñas; de hecho, tienen acceso a Internet para que puedan leer sobre ellos aquí mismo . El efecto es una propagación entre sitios: si su contraseña en un sitio es robada (por ejemplo, mediante un secuestro hostil del servidor), el atacante puede observar su contraseña para ese sitio e inferir su "regla secreta", deduciendo así las contraseñas que usaste en muchos otros sitios.
La palabra importante es "consistente". Tú no quieres eso. Aunque la consistencia es generalmente buena para todos los esfuerzos intelectuales, para las contraseñas es realmente mala. No quieres consistencia; necesitas aleatoriedad . Sólo la aleatoriedad proporciona seguridad. La aleatoriedad es lo que el atacante no puede adivinar, precisamente porque es aleatorio, no ingenioso.
Lo ideal sería utilizar contraseñas aleatorias, con al menos (digamos) 30 bits de entropía por contraseña, y (crucialmente) una contraseña diferente para cada sitio. Esa es la parte más importante: no debería ser factible deducir su contraseña en un sitio a partir del conocimiento de su contraseña en cualquier otro sitio. Si tiene problemas para recordar todas estas contraseñas, sugiero usar un administrador de contraseñas como 1Password o KeePass . Alternativamente, escriba sus contraseñas en un lugar seguro (esto puede ser un pedazo de papel en su billetera; las billeteras tienen buena seguridad física, porque se preocupa de ellas).
Se refiere a una contraseña ingeniosa (o inteligente) o a un algoritmo de derivación de claves (que se está convirtiendo en una clave para producir una contraseña "oculta"). Ninguno proporciona seguridad adicional más allá de la complejidad de la contraseña original. O bien el sistema es inseguro porque es demasiado simple y puede ser diseñado mediante ingeniería inversa, lo que resulta en fallas catastróficas de varias cuentas, o es tan complejo que requiere una computadora que haga el procesamiento por usted, en cuyo punto no hay razón alguna. no utilizar una contraseña generada aleatoriamente que esté cifrada y almacenada en un administrador de contraseñas. Debido a esto, no hay sistemas existentes que utilicen este enfoque, ya que serían inherentemente inseguros.
No hay absolutamente ningún caso en que esta sea una idea útil que brinde alguna ventaja de seguridad significativa. Un sistema humano procesable puede ser marginalmente mejor que tener la misma contraseña para cada cuenta, pero no se logra una seguridad significativa si existe alguna relación entre las contraseñas de las diferentes cuentas, lo que esto construye explícitamente.
Parece que estás mezclando el hash de contraseña seguro para el almacenamiento de la contraseña del servidor (diseñado para proteger un solo sitio) frente a la seguridad de las contraseñas para un usuario en múltiples sitios.
Lea otras preguntas en las etiquetas passwords password-management hash terminology