La gente pareció encontrar esto "Si una contraseña es muy fuerte, es importante si es única" pregunta muy interesante, pero en realidad me recordó que la pregunta inversa también es interesante: si usa una contraseña genuinamente única para un En la cuenta en línea, ¿la "fuerza" (es decir, la complejidad y la aleatoriedad) de la contraseña realmente importa tanto?
Entonces, mucho, mucho, mucho consejo, y para los empleados con empleadores "preocupados por la seguridad", reglas obligatorias, se ha emitido a los usuarios sobre la necesidad de crear contraseñas "seguras" y cómo hacerlo. Pero este consejo y esas reglas a menudo no tienen en cuenta cómo y dónde se usan realmente las contraseñas . Específicamente, ignoran completamente el efecto sobre la seguridad de la contraseña del bloqueo y amp; Los mecanismos de regulación que se utilizan en los servicios en línea, los servidores remotos en el trabajo y, por lo general, en todos los sistemas de autenticación de contraseña y PIN gestionados de forma responsable.
Pensemos en un escenario ligeramente extremo:
Estoy configurando una nueva contraseña para una cuenta en línea en un importante banco de Estados Unidos sin nombre. Para crear esa contraseña, decido que quiero ser perezoso, pero tampoco quiero elegir algo que sea idéntico (o algo parecido a él) a cualquier otra contraseña que use y que no sea idioticamente común o fácil de adivinar. Entonces, enciendo mi navegador web, tomo una palabra inglesa (al azar) seleccionada al azar de aquí , digamos tachuela en un dígito seleccionado al azar de aquí , y ...
direful4
Supongamos que direful4
es completamente único y no está relacionado con ninguna otra contraseña que haya usado o que nunca haya usado. Supongamos también que ningún atacante tenía información sobre la contraseña y cómo fue elegida. (Y supongamos también que hoy mi banco incluso me permitiría establecer una contraseña tan "débil" para empezar).
Por lo tanto, teniendo en cuenta las limitaciones que cualquier mecanismo decente de bloqueo o limitación de inicio de sesión fallido aplicará a la velocidad de un atacante en el craqueo de fuerza bruta en el sitio del banco, está utilizando direful4
para su contraseña bancaria de manera realmente significativa. menos seguro que usar, por ejemplo, Kt3w54EIsq%OinCs8@f
? Si es así, ¿cómo?
(Sugerencia de la tapa a un excelente artículo de un par de investigadores de Microsoft que leí hace unos años que realmente me hizo pensar en esto: " ¿Las contraseñas web 'Fuertes' cumplen en realidad alguna cosa? ?")