Las contraseñas de Unix, con la antigua función crypt() basada en DES , se limitaron a 8 caracteres (y se ignoró el bit alto de cada byte). Por lo tanto, un límite inferior de más de 8 caracteres simplemente no habría funcionado.

La fuerza motriz para un tamaño de contraseña mínimo es la eficiencia de fuerza bruta: las contraseñas pequeñas son incondicionalmente débiles porque probar todas las combinaciones de, por ejemplo, 7 caracteres, se puede hacer con hardware relativamente barato y no demasiado mucho tiempo. En particular, en el caso de la antigua función crypt() basada en DES, el costo computacional de probar una contraseña es bajo. Por lo tanto, en un contexto "antiguo de Unix" (típico de las salas de computadoras de la década de 1980), un tamaño mínimo de 8 es lo mejor que se puede esperar, y realmente no desea permitir contraseñas más pequeñas.

Creo que el "8" viene de eso. El resto es una cuestión de historia, sociología y bananas .

El testimonio del chimpancé

Hace más de 15 años trabajé como administrador de sistemas en Tru64 y en un sistema operativo desarrollado sobre OSF / 1 por Digital Equipment Corporation . Este sistema fue construido en una arquitectura de 64 bits e hizo muchos avances serios en seguridad fundamental. Uno de ellos fue permitir el uso de DES para administrar contraseñas de hasta 16 caracteres. Como ya estaba bien informado de la facilidad con la que era posible romper un DES de 56 bits, fui uno de los primeros en usar contraseñas más serias. Calculé en este momento que, para mí, el tamaño óptimo de las contraseñas era entre 12 y 16.

Desafortunadamente, un día ... cometí un error estúpido al escribir mi contraseña para acceder de forma remota en mi sistema. Sabía que había escrito mal un carácter porque estaba en un teclado externo. Y funcionó. Esto fue un resfriado virtual. Ducha de agua directamente en el cerebro.

Inmediatamente detuve mi trabajo en progreso (y dejé caer mi banana por completo). Busqué el insecto feo. Un carácter tras otro, acorté mi contraseña para encontrar dónde estaba el error.

El límite se descubrió rápidamente: estaba en 8. Cualquiera que sea el personaje que yo ingresada después de las 8 primeras correctas, esta contraseña truncada fue aceptada. Inmediatamente se llenó un error en DEC, y se aprendió una lección de la manera más difícil.

El mismo día recomendé inmediatamente a todos mis colegas y usuarios que dejaran de usar Contraseñas de más de 8 caracteres, porque eran simplemente una seguridad falsa. Deben mantenerse en el límite de 8 caracteres ya que para algún servidor el otro los caracteres no formaban parte del proceso de autenticación .

Aparentemente, sin el origen de la historia, muchos de mis colegas transmitieron este temor religioso hasta hoy. Por lo tanto, puedes ver un sistema operativo prehistórico que aún no puede cruzar esta barrera de 8 caracteres sin el miedo ancestral de perder sus caracteres.

No se quedarán atrapados en este miedo para siempre o ... tal vez lo hagan.

12 proviene del estado actual de la técnica en hardware de hashing de fuerza bruta. Una persona adinerada, pero por lo demás normal, puede comprar dos docenas de tarjetas gráficas, montarlas en un chasis bien enfriado, cargar un software de GPU especializado y ejecutar 348 mil millones de hashes por segundo. Es suficiente con los computrones para forzar a todas las contraseñas de 10 caracteres posibles en un tiempo muy razonable. (A menos que estén protegidos por PBKDF2 con muchas rondas).

12 caracteres aleatorios es algo mejor que 10 caracteres aleatorios, pero está incómodamente cerca de estar a unos pocos dólares de lo fácil que se puede descifrar mañana.

Las frases de contraseña mucho más largas aún son mejores, pero si son solo pares de palabras del diccionario, también caerán fácilmente.

Una nota similar es la respuesta a la pregunta "¿Por qué los números de teléfono de América del Norte tienen 7 dígitos?" Las pruebas de la compañía telefónica demostraron que estar cerca del límite de lo que un humano podría recordar de manera confiable. Es una guía deficiente, especialmente si el usuario utiliza una palabra del diccionario como su contraseña, pero es fácil ver cómo los consejos pueden pasar de una situación a otra.