Tengo una pregunta. Si estuvieras usando una herramienta de ataque de fuerza bruta / diccionario de contraseñas en un sitio como yahoo u otro sitio, ¿cuánto tiempo tomaría descifrar una contraseña como Jah13Wootiang si Wootiang es el nombre y Jah es el apellido? Esto es asumiendo que el atacante sabe tu nombre.
Esto supone que no hay una función de bloqueo.
Es completamente subjetivo y, por lo tanto, no es una pregunta que se pueda responder fácilmente.
Lo que quiero decir con esto es que todo depende de qué enfoque toma el cracker. Si se trata de una simple fuerza bruta secuencial a través del espacio clave a mil conjeturas por segundo, se tardaría mucho tiempo en descifrarlo, ya que la iteración a través de ese espacio clave y la prueba de cada combinación de letras y números tomará aproximadamente 64.65 billones de siglos .
Pero , y esto es un gran pero , dado que sabemos que los crackers de contraseñas no usan técnicas simples de fuerza bruta, lo más probable es que este no sea el caso. . Los crackers de contraseñas hacen uso de técnicas dirigidas mucho más inteligentes y complejas que incluyen diccionarios masivos de contraseñas y listas de palabras dañadas, así como tablas de arco iris e incluso técnicas estadísticas que implican Markov encadena para hacer que la adivinación de la contraseña sea un proceso mucho más inteligente, lo que hace que sea menos sencillo de tomar en la oscuridad.
Esto significa que si el atacante tuviera su nombre y apellido, probablemente podrían adivinar su contraseña en un lapso de tiempo significativamente más corto (de unas pocas horas a unos pocos días) usando diferentes combinaciones de su nombre y apellido estructurados estratégicamente. Su contraseña nunca debe construirse a partir de una combinación de datos de identificación personal que todos puedan ver.
Si estaba pensando en usar una contraseña como esta, ¡no lo haga! Lo ideal es que su contraseña sea una secuencia razonablemente larga de números aleatorios, letras y caracteres especiales que no sean importantes para usted y que no representen lenguaje natural ni nombres ni apellidos de ninguna manera.
Si el atacante está realizando un ataque dirigido (es decir, va tras una determinada cuenta y ha investigado al propietario de la cuenta), la contraseña que proporcionó probablemente estará entre las primeras cientos de conjeturas, y ciertamente entre las primeras unos pocos miles "Apellido + infijo numérico + primer nombre" es un patrón común, aunque los infijos son menos comunes que los prefijos o sufijos.
Si el atacante está realizando un ataque no dirigido (es decir, quiere una cuenta y no importa de quién sea la cuenta), la contraseña que proporcionó no será adivinada. El atacante simplemente intentará algunas de las contraseñas más comunes y pasará a la siguiente cuenta. Cuando 1.5% de los usuarios eligen "123456" como su contraseña, es mejor que un atacante pruebe una contraseña en cien cuentas que intentar cien contraseñas en una cuenta.
Lea otras preguntas en las etiquetas passwords brute-force defense