En un mundo donde la mayoría de la gente usa frases de contraseña en lugar de contraseñas, ¿un ataque que genera una cadena de palabras al azar (alternando entre delimitadores de palabras) no sería tan efectivo como un ataque de fuerza bruta? Por supuesto, hay muchas más palabras posibles que posibles caracteres, pero sospecho que en la práctica el rango de palabras que realmente se usan podría ser predicho por una heurística decente.
¿Estoy mostrando mi ignorancia del tema o tiene sentido?
En términos generales, siempre se puede suponer que los ataques de fuerza bruta siempre serán posibles. El truco es limitar cuán efectivos pueden ser. Aumentar la longitud y / o la complejidad, pero preferiblemente la longitud, es una buena manera de reducir la velocidad de una fuerza bruta.
Así que podemos discutir detalles, supongamos que el atacante tiene acceso a su hash de contraseña y no puede usar ningún acceso directo como las tablas de búsqueda de hash. El tiempo necesario para tener éxito depende en gran medida de la velocidad de la potencia de cómputo disponible. Es decir, una computadora que es capaz de verificar 1,000 contraseñas por segundo tomará mucho más tiempo que una computadora que es capaz de verificar 100,000 contraseñas por segundo. A medida que aumenta la potencia de cálculo en los sistemas informáticos, disminuirá el tiempo necesario para realizar una fuerza bruta fuera de línea. Por lo tanto, en este caso, desearía que su contraseña, o frase de contraseña, sea lo suficientemente compleja como para hacer que el tiempo de fuerza bruta sea más largo que la vida útil esperada de la contraseña. Es decir, si cambia su contraseña cada 6 meses, querrá que se demoren al menos 7 meses.
Otro método común de fuerza bruta es intentar iniciar sesión en un sistema de vida, esto es lo que verás comúnmente en las exploraciones, como Morto, que tienen una lista de contraseñas comunes y buscan sistemas que utilizan algunas credenciales simples. Aquí se aplican los mismos principios, excepto que usted tiene un poco más de control sobre cómo se puede ralentizar el proceso. Por ejemplo, puede bloquear sistemas remotos después de un cierto número de intentos, responder con el mensaje de contraseña incorrecta con retrasos cada vez mayores o bloquear cuentas después de un número determinado de contraseñas incorrectas. Todos ellos tienen sus inconvenientes, ya que pueden ser utilizados como un mecanismo para los ataques DoS. Sin embargo, son bastante comunes. En algunos casos, como el cumplimiento de PCI, en realidad se requieren bloqueos de cuenta.
Sí, es tan vulnerable a un ataque de fuerza bruta como una contraseña, si el atacante lo trata como una frase de contraseña.
Si no asume ningún delimitador y un vocabulario de 15,000 palabras, entonces una frase de contraseña de 4 palabras tiene una entropía similar a una contraseña alfanumérica de mayúsculas y minúsculas de 10 caracteres y, por lo tanto, tomará aproximadamente el mismo tiempo que la fuerza bruta.
La razón por la que puedes usar una frase de contraseña no es porque sea más fuerte, sino porque es más fácil de recordar para los usuarios.
Por ejemplo, compare "uPTwbyp4kAv" con " correcthorsebatterystaple ".
La misma entropía, pero los humanos normales no pueden recordar el primero, por lo que lo escriben o lo cambian a "Contraseña123".
Tienes razón. Si solo utilizara palabras del diccionario en una frase de contraseña, entonces solo está tratando con un 'alfabeto' de todas las palabras en su idioma (que ciertamente es mucho más grande que 26), pero probablemente solo use un puñado de palabras en su contraseña para que no se compre mucha seguridad adicional.
Sin embargo, con el pequeño cambio de usar al menos una palabra que no está en el diccionario, su frase de contraseña se vuelve exponencialmente más segura. Si tiene 5 palabras de diccionario con algunos caracteres especiales o sustituciones, entonces no es vulnerable a una fuerza bruta (que solo es posible para < una docena de caracteres, o algo así en la mayoría de las plataformas), y está ya no es vulnerable al ataque de frase de contraseña del diccionario que menciona.
Si está interesado en la seguridad de las frases de contraseña, aquí hay una investigación interesante Alguna evidencia en frases de contraseña de varias palabras . Básicamente, los resultados de esta investigación confirman tus expectativas.
He estado usando frases de contraseña por muchos años, pero en lugar de usarlas directamente, las estoy modificando un poco. Por ejemplo, mi frase de contraseña puede verse así:
Th1 $ # I $ # Mi # 3x @ mpl3 # P @ $$ phr @ $ 3
Es más fácil de recordar que una "contraseña verdaderamente aleatoria" y, en general, me da un nivel de seguridad aceptable. Adivinar las palabras correctas no es suficiente en este caso, el atacante también debe adivinar la transformación que utilicé para crear mi frase de contraseña (la transformación debe ser de alguna manera única cada vez que crees tu frase de contraseña). Por supuesto, incluso la frase de contraseña más larga no es segura si la usa en muchos lugares.
Como nota al margen, quiero mencionar que también estoy usando la aplicación de administrador de contraseñas (KeePass) y para cada cuenta que no tengo que recordar mi contraseña, uso una generada automáticamente. Usar contraseñas únicas es una buena práctica de seguridad, pero puede ser bastante engorroso si está tratando de recordarlas todas. Incluso si está utilizando frases de contraseña.
Lea otras preguntas en las etiquetas passwords obscurity passphrase