Si una contraseña es única, ¿realmente importa qué tan "fuerte" es?

Sí, es menos seguro. Porque si un pirata informático obtiene una copia de la base de datos de usuarios del banco, incluidas las contraseñas de hash, entonces ya no están limitadas por la limitación o el bloqueo en la interfaz web y pueden ejecutar un ataque de fuerza bruta a toda velocidad contra los hashes. Si el banco usa un algoritmo de hash eficiente (que obviamente no deberían, pero los bancos no tienen la seguridad perfecta), un atacante podría hacer mil millones de intentos por segundo. A esa velocidad, pueden enumerar cada contraseña de ocho letras que contiene una combinación de dígitos, mayúsculas y minúsculas en dos días y medio.

Más o menos la longitud de una contraseña es el factor más relevante contra la fuerza bruta + el escenario de craqueo de hash sin conexión. Cuanto más larga sea su contraseña, más tiempo tomará enumerar todas las posibilidades y, como resultado, ganará más tiempo / seguridad.

La "aleatoriedad" también importa, pero eso solo se aplica a las tablas de arco iris / ataques de diccionario como dijo koluke. Por lo tanto, la aleatoriedad puede ser irrelevante para casos específicos, pero tiene como objetivo eliminar los enfoques más básicos y, por lo tanto, hacer que la técnica de fuerza bruta sea un cuello de botella.

EDITAR: me gustaría agregar que también considero que esas políticas de contraseñas son útiles para el acceso público, ya que me garantizan como administrador que todas las contraseñas cumplen al menos un nivel mínimo de seguridad (por ejemplo, no hay 3 palabras). contraseñas) y no les permite usar cosas como "contraseña", "seguro" o "04.04.1997" como sus contraseñas. Por mucho, no todas las contraseñas que pasan las políticas pueden considerarse "seguras", pero al menos sé que su seguridad no es imaginaria.

Si usa una frase alfanumérica como direful4 , es bastante fácil de adivinar o forzar su contraseña. Cuanto más fuerte sea una contraseña, más difícil de adivinar o de fuerza bruta se comprometerá la base de datos de la cuenta de un sitio.

Si el sitio del banco que mencionó le permite almacenar una contraseña insegura, y el banco no puede bloquear una cuenta después de varios intentos fallidos de inicio de sesión (o su base de datos está comprometida), tener una contraseña más segura le brinda mayor protección contra alguien que intente descifra tu contraseña usando tablas de arco iris, fuerza bruta o un ataque de diccionario.

La idea con la seguridad de la contraseña (y la seguridad en general) es tener algunas superposiciones en la política en caso de que alguien esté equivocado o un actor malintencionado encuentre la manera de eludir una protección. Esto se conoce como el enfoque de seguridad en capas. Por ejemplo, nadie espera ser hackeado, pero en el caso de que lo sea, tener registros de acceso extensos ayuda a identificar quién, qué, cuándo y dónde de un ataque. Del mismo modo, ejecuta el software antimalware para prevenir una infección por virus, pero aún debe mantener copias de seguridad de datos críticos en caso de que un malware pueda evadir sus protecciones antimalware.

Si no reutiliza esta contraseña ni ninguna iteración o variación de esta contraseña en cualquier lugar, diría que no importa que aplique una política sólida para generarla o no, siempre que no pueda ser forzada por la fuerza en línea ( ya sea porque la aplicación no permite suficientes intentos fallidos de inicio de sesión, o porque sería demasiado costoso probar tantas contraseñas en línea).

El único escenario en el que podría pensar es:

Digamos que un atacante logró obtener un acceso temporal al sistema de destino, por cualquier motivo, no quiere agregar nada al servidor, por lo que no mantiene el acceso y no agrega ninguna puerta trasera, nada ...

Simplemente descarga la base de datos y decide no volver a colarse nunca más en este sistema. (o tal vez nunca detecten la intrusión, pero parchean su sistema y él no puede volver).

Ahora, si puede descifrar el hash o su contraseña, aún puede hacerse pasar por usted en este sitio. Mientras que si su contraseña fuera más fuerte, tal vez él no podría hacerlo.

(Sí, sé que han pasado 2 años, pero me gustaría saber si estoy equivocado o no en mi análisis).

Nunca debe confiar en el servidor para proporcionar los medios para proteger una contraseña débil. Incluso si el servidor muestra captchas para evitar que un atacante ejerza fuerza bruta, debe esperar que el atacante sea lo suficientemente paciente e intente otro día u otra hora. El sitio puede incluso utilizar cookies para verificar si el atacante es el mismo, lo que no tiene ningún valor (puede eliminar la cookie). El servidor también puede confiar en la IP: TOR para el rescate. Lo que está proponiendo con su enfoque único y no rastreable con respecto al origen es seguridad por oscuridad y ese es un enfoque ampliamente despreciado en la industria de la industria. Las contraseñas no relacionadas son buenas para protegerse contra las técnicas de adivinación de John The Ripper, pero aún eres vulnerable a la fuerza bruta. Estoy pensando en la fuga de la celebridad de iCloud. Estoy bastante seguro de que las contraseñas utilizadas por las celebridades donde se llamaban sus nombres de perros o fechas de nacimiento, pero incluso con una contraseña alfanumérica de 5 o 6 caracteres, no esperaban que Apple fuera tan descuidada al no proporcionar mecanismos de bloqueo.

Consejo: contraseñas grandes + administrador de contraseñas = felicidad