Si una contraseña es única, ¿realmente importa qué tan "fuerte" es?

5

La gente pareció encontrar esto "Si una contraseña es muy fuerte, es importante si es única" pregunta muy interesante, pero en realidad me recordó que la pregunta inversa también es interesante: si usa una contraseña genuinamente única para un En la cuenta en línea, ¿la "fuerza" (es decir, la complejidad y la aleatoriedad) de la contraseña realmente importa tanto?

Entonces, mucho, mucho, mucho consejo, y para los empleados con empleadores "preocupados por la seguridad", reglas obligatorias, se ha emitido a los usuarios sobre la necesidad de crear contraseñas "seguras" y cómo hacerlo. Pero este consejo y esas reglas a menudo no tienen en cuenta cómo y dónde se usan realmente las contraseñas . Específicamente, ignoran completamente el efecto sobre la seguridad de la contraseña del bloqueo y amp; Los mecanismos de regulación que se utilizan en los servicios en línea, los servidores remotos en el trabajo y, por lo general, en todos los sistemas de autenticación de contraseña y PIN gestionados de forma responsable.

Pensemos en un escenario ligeramente extremo:

Estoy configurando una nueva contraseña para una cuenta en línea en un importante banco de Estados Unidos sin nombre. Para crear esa contraseña, decido que quiero ser perezoso, pero tampoco quiero elegir algo que sea idéntico (o algo parecido a él) a cualquier otra contraseña que use y que no sea idioticamente común o fácil de adivinar. Entonces, enciendo mi navegador web, tomo una palabra inglesa (al azar) seleccionada al azar de aquí , digamos tachuela en un dígito seleccionado al azar de aquí , y ...

direful4

Supongamos que direful4 es completamente único y no está relacionado con ninguna otra contraseña que haya usado o que nunca haya usado. Supongamos también que ningún atacante tenía información sobre la contraseña y cómo fue elegida. (Y supongamos también que hoy mi banco incluso me permitiría establecer una contraseña tan "débil" para empezar).

Por lo tanto, teniendo en cuenta las limitaciones que cualquier mecanismo decente de bloqueo o limitación de inicio de sesión fallido aplicará a la velocidad de un atacante en el craqueo de fuerza bruta en el sitio del banco, está utilizando direful4 para su contraseña bancaria de manera realmente significativa. menos seguro que usar, por ejemplo, Kt3w54EIsq%OinCs8@f ? Si es así, ¿cómo?

(Sugerencia de la tapa a un excelente artículo de un par de investigadores de Microsoft que leí hace unos años que realmente me hizo pensar en esto: " ¿Las contraseñas web 'Fuertes' cumplen en realidad alguna cosa? ?")

    
pregunta mostlyinformed 04.10.2015 - 05:19
fuente

5 respuestas

7

Sí, es menos seguro. Porque si un pirata informático obtiene una copia de la base de datos de usuarios del banco, incluidas las contraseñas de hash, entonces ya no están limitadas por la limitación o el bloqueo en la interfaz web y pueden ejecutar un ataque de fuerza bruta a toda velocidad contra los hashes. Si el banco usa un algoritmo de hash eficiente (que obviamente no deberían, pero los bancos no tienen la seguridad perfecta), un atacante podría hacer mil millones de intentos por segundo. A esa velocidad, pueden enumerar cada contraseña de ocho letras que contiene una combinación de dígitos, mayúsculas y minúsculas en dos días y medio.

    
respondido por el Mike Scott 04.10.2015 - 07:15
fuente
5

Más o menos la longitud de una contraseña es el factor más relevante contra la fuerza bruta + el escenario de craqueo de hash sin conexión. Cuanto más larga sea su contraseña, más tiempo tomará enumerar todas las posibilidades y, como resultado, ganará más tiempo / seguridad.

La "aleatoriedad" también importa, pero eso solo se aplica a las tablas de arco iris / ataques de diccionario como dijo koluke. Por lo tanto, la aleatoriedad puede ser irrelevante para casos específicos, pero tiene como objetivo eliminar los enfoques más básicos y, por lo tanto, hacer que la técnica de fuerza bruta sea un cuello de botella.

EDITAR: me gustaría agregar que también considero que esas políticas de contraseñas son útiles para el acceso público, ya que me garantizan como administrador que todas las contraseñas cumplen al menos un nivel mínimo de seguridad (por ejemplo, no hay 3 palabras). contraseñas) y no les permite usar cosas como "contraseña", "seguro" o "04.04.1997" como sus contraseñas. Por mucho, no todas las contraseñas que pasan las políticas pueden considerarse "seguras", pero al menos sé que su seguridad no es imaginaria.

    
respondido por el Scrayos 04.10.2015 - 12:58
fuente
2

Si usa una frase alfanumérica como direful4 , es bastante fácil de adivinar o forzar su contraseña. Cuanto más fuerte sea una contraseña, más difícil de adivinar o de fuerza bruta se comprometerá la base de datos de la cuenta de un sitio.

Si el sitio del banco que mencionó le permite almacenar una contraseña insegura, y el banco no puede bloquear una cuenta después de varios intentos fallidos de inicio de sesión (o su base de datos está comprometida), tener una contraseña más segura le brinda mayor protección contra alguien que intente descifra tu contraseña usando tablas de arco iris, fuerza bruta o un ataque de diccionario.

La idea con la seguridad de la contraseña (y la seguridad en general) es tener algunas superposiciones en la política en caso de que alguien esté equivocado o un actor malintencionado encuentre la manera de eludir una protección. Esto se conoce como el enfoque de seguridad en capas. Por ejemplo, nadie espera ser hackeado, pero en el caso de que lo sea, tener registros de acceso extensos ayuda a identificar quién, qué, cuándo y dónde de un ataque. Del mismo modo, ejecuta el software antimalware para prevenir una infección por virus, pero aún debe mantener copias de seguridad de datos críticos en caso de que un malware pueda evadir sus protecciones antimalware.

    
respondido por el koluke 04.10.2015 - 07:20
fuente
1

Si no reutiliza esta contraseña ni ninguna iteración o variación de esta contraseña en cualquier lugar, diría que no importa que aplique una política sólida para generarla o no, siempre que no pueda ser forzada por la fuerza en línea ( ya sea porque la aplicación no permite suficientes intentos fallidos de inicio de sesión, o porque sería demasiado costoso probar tantas contraseñas en línea).

El único escenario en el que podría pensar es:

Digamos que un atacante logró obtener un acceso temporal al sistema de destino, por cualquier motivo, no quiere agregar nada al servidor, por lo que no mantiene el acceso y no agrega ninguna puerta trasera, nada ...

Simplemente descarga la base de datos y decide no volver a colarse nunca más en este sistema. (o tal vez nunca detecten la intrusión, pero parchean su sistema y él no puede volver).

Ahora, si puede descifrar el hash o su contraseña, aún puede hacerse pasar por usted en este sitio. Mientras que si su contraseña fuera más fuerte, tal vez él no podría hacerlo.

(Sí, sé que han pasado 2 años, pero me gustaría saber si estoy equivocado o no en mi análisis).

    
respondido por el Maxime 30.10.2017 - 17:50
fuente
1

Nunca debe confiar en el servidor para proporcionar los medios para proteger una contraseña débil. Incluso si el servidor muestra captchas para evitar que un atacante ejerza fuerza bruta, debe esperar que el atacante sea lo suficientemente paciente e intente otro día u otra hora. El sitio puede incluso utilizar cookies para verificar si el atacante es el mismo, lo que no tiene ningún valor (puede eliminar la cookie). El servidor también puede confiar en la IP: TOR para el rescate. Lo que está proponiendo con su enfoque único y no rastreable con respecto al origen es seguridad por oscuridad y ese es un enfoque ampliamente despreciado en la industria de la industria. Las contraseñas no relacionadas son buenas para protegerse contra las técnicas de adivinación de John The Ripper, pero aún eres vulnerable a la fuerza bruta. Estoy pensando en la fuga de la celebridad de iCloud. Estoy bastante seguro de que las contraseñas utilizadas por las celebridades donde se llamaban sus nombres de perros o fechas de nacimiento, pero incluso con una contraseña alfanumérica de 5 o 6 caracteres, no esperaban que Apple fuera tan descuidada al no proporcionar mecanismos de bloqueo.

Consejo: contraseñas grandes + administrador de contraseñas = felicidad

    
respondido por el BrunoMCBraga 04.10.2015 - 12:10
fuente

Lea otras preguntas en las etiquetas