Para las personas que simplemente eligen la contraseña más simple permitida, esto es realmente una mejora en la entropía, como password
a pa55word
(la primera es tan mala como puede ser, la segunda es significativamente mejor aún) inaceptablemente simple). Password1
es diez veces más complejo que Password
, pero solo porque es más largo, aunque Passworda
sería 26 veces más complejo que el Password
original.
Para las personas que eligen contraseñas seguras, esto es un obstáculo. Obliga a las contraseñas como ni{M?tofQPI.'C'dfmSK
a convertirse en 3i{M?tofQPI.'C'dfmSK
. Desde una perspectiva de pura entropía, hay menos posibilidades en dígitos (10) que en minúsculas (26), mayúsculas (26) o caracteres especiales (~ 32). Esa contraseña n…
posiblemente * tiene 2.6 veces más entropía que la contraseña 3…
( 26 / 10 ).
Considere un esquema de contraseña más estricto: debe tener una letra mayúscula, un dígito y un carácter especial. Por lo tanto, un atacante sabe que hay una gran cantidad de contraseñas que son imposibles y, por lo tanto, no es necesario probarlas en una fuerza bruta ataque .
Usando la psicología, el atacante también dará prioridad al primer carácter como mayúscula y al último como un dígito o un carácter especial, lo que significa que 1pa*sswoRd
es mucho más fuerte que Password1*
(pero, nuevamente, es inaceptablemente simple) . Esto se denomina "topología de contraseñas" (obtenga más información de PathWell: Topología de contraseñas de Rick Redman).
* Calcular la entropía de la contraseña es muy difícil y nadie lo hace correctamente (es imposible hacerlo "correctamente" a menos que esté hablando de medir un generador de contraseña automático). Uno debe asumir el peor de los casos, que su esquema de generación de contraseña es totalmente conocido por el atacante, ya que no puede confiar en la seguridad a través de la oscuridad. Tengo mi propia forma de calcular la entropía que me gusta más que otras que he visto, pero también es imperfecta. Por lo tanto, el mejor consejo para la generación de contraseñas es crear un código de acceso muy largo que cumpla con las pautas de contraseña más recomendadas, incluso ignorando el primer y último carácter del código.
Al cambiar, por ejemplo, password
a Password
, estás duplicando la entropía porque es la ubicación más común para hacer mayúsculas (y la parte superior frente a la inferior tiene dos opciones), mientras que cambiar de password
a pAssword
al menos implica que la mayúscula podría estar en cualquier lugar, en lugar de aumentar la complejidad en 16x en este ejemplo (ocho caracteres por dos posibilidades de caso).
No olvides las palabras. Una palabra vale 2-3 "caracteres aleatorios" y no más. Las palabras súper oscuras (especialmente de idiomas más raros) pueden valer hasta cuatro caracteres (vea el enlace de mi entropía más arriba), pero es mejor ser conservador en su estimación. Digo que si está en un diccionario de ortografía para cualquier idioma que se sepa que hable, vale 2. Cualquier otra palabra no trivial vale 3. Password
y otras contraseñas comunes (incluso 1qaz2wsx
; mira tu teclado) valen 1, por lo que Password1
es tan seguro como K%
. Dado que los atacantes pueden peinar tus unidades, cualquier "palabra" que se encuentre en cualquier parte de tu computadora (excluyendo los diccionarios) vale como máximo 2 caracteres.
El azar es difícil para los humanos y aún más difícil de recordar (y la mayoría de las personas consideran erróneamente que "oscuro" y / o "inteligente" son "aleatorios"). Es por eso que los administradores de contraseñas ofrecen hacerlo por usted, creando un sistema en el que solo necesita recordar una contraseña grande que podría, por ejemplo, memorice la mitad de y pegue la otra mitad en su billetera.