¿Las contraseñas leet son fáciles de crackear?

59

Crear una contraseña segura Y recordarla es como comer mientras se habla. Te ahogas. Entonces, lo mismo podría suceder si tiene un p455w0 (R). | L1K3thys y alguien lo rompe. Simplemente no estoy seguro de si es realmente cierto. ¿Son estas contraseñas leet más crackeables que las contraseñas completamente aleatorias que crea un generador de contraseñas aleatorias? ¿Hay algún cracker de contraseña leet por ahí? ¿Hay alguna manera de simular de forma segura una prueba de penetración en algunas contraseñas de archivos sin conexión?

    
pregunta Foxcat385 16.10.2016 - 21:11
fuente

3 respuestas

78

Creo que la respuesta de Trey Blalocks es genial, pero me gustaría complementarla con algunas matemáticas.

Si su contraseña se selecciona aleatoriamente en 171,476 palabras en El Oxford English Dictionary obtiene log2 (171476) o aproximadamente 17.4 bits de entropía.

Supongamos que hay aproximadamente 4 sustituciones de leet naturales en la palabra promedio. Al azar, hacer o no hacer cada sustitución agrega un bit, por lo que agregar el leet aumentaría la entropía en 4 bits, lo que significa que demorar 16 veces más en interrumpirse. (Si solo usa leet para todas las sustituciones disponibles, solo agregue un bit: la contraseña es leet o no leet).

Por otro lado, una contraseña alfanumérica (8 mayúsculas y minúsculas) completamente aleatorias de 8 caracteres tiene log2 (62 ^ 8) o aproximadamente 47.6 bits de entropía. ¡Eso significa que se tarda un poco más de mil millones de veces en romperse!

Por lo tanto, agregar leetspeak es un poco mejor que solo tomar una palabra en inglés, pero no es tan bueno como aleatorio.

    
respondido por el Anders 16.10.2016 - 22:15
fuente
49

Las bibliotecas de cracking incluyen algoritmos comunes de sustitución de Leet y existen diccionarios de Leet que pueden ser utilizados por herramientas como Hydra. También hay herramientas para convertir un diccionario completo de palabras a "Leet-speak"

Lo más importante es que los hashes están disponibles para las contraseñas de Leet más comunes y las variaciones de palabras de Leet, por lo que si alguien está descifrando un gran volcado de contraseñas de estas contra un gran conjunto de palabras pre-hash que incluyen contraseñas de Leet en uso, es muy probable que encontrar coincidencias

Finalmente, una mejor manera de determinar las consecuencias del mundo real podría ser ver los volcados de contraseñas que ya se han producido y que también incluyeron las contraseñas de Leet. La prueba de que se ha descifrado es visible en los volcados de contraseñas del mundo real que se han hecho públicos. Del mismo modo, su presencia en tablas hash comunes (MD5 y SHA1) también daría la posibilidad de que se rompan fácilmente.

    
respondido por el Trey Blalock 16.10.2016 - 21:35
fuente
16

Referencia XKCD obligatoria y extremadamente relevante de :

Lo que me inclino a hacer es combinar los enfoques ambos pero no creo que eso haga una gran diferencia. Otro enfoque sería utilizar la primera letra de cada palabra en un poema o canción favorita. NGGYUNGLYDNGRAADY etc ...

    
respondido por el mcottle 18.10.2016 - 09:14
fuente

Lea otras preguntas en las etiquetas