¿Es seguro usar una contraseña similar en diferentes cuentas?

Esta es una pregunta interesante. Una regla general en la criptografía es que crear patrones en las claves o contraseñas es una mala idea, porque los patrones debilitan el sistema. Por ejemplo, en su caso, diga que inicia sesión en 10 sitios web con una contraseña base de myb @ s5PW, y agregue un sufijo de contraseña al final. Tal vez para el intercambio de pila use myb @ s5PWstEX, para el sitio de blog use mhb @ s5PWblSI, etc. O tal vez use aamyb @ s5PW y bbmyb @ s5PW en su lugar. O bien hay un patrón discernible, incluso si solo se conoce una contraseña.

Digamos que Stack Exchange fue pirateado (vulnerabilidad desconocida de día cero, no podían hacer nada al respecto), y se obtuvieron todas las contraseñas de usuario, incluida la suya. Estoy seguro de que en algún lugar alguien está poniendo esta información en una base de datos, de modo que esa base de datos tendrá su nombre de usuario con una contraseña al lado. Digamos que el sitio del blog fue hackeado de la misma manera, entonces habría dos contraseñas vinculadas a su nombre de usuario con un patrón fácil de entender. Si alguien quisiera piratear una de tus otras cuentas, todo lo que tendrían que hacer es hacer conjeturas basadas en el patrón. Podría hacer esto más difícil al hacer que sus patrones sean más complejos, pero es tan fácil forzar con fuerza bruta todas las combinaciones de myb @ s5PW que ninguna complejidad no lo hará tan fuerte. De hecho, no sería un tramo para un atacante descubrir su patrón incluso con un ejemplo, si lo estuvieran buscando, pero es poco probable que alguien lo intente a menos que lo esté atacando específicamente.

Entonces, desde una perspectiva pura de descifrado de códigos, es una mala idea, pero como muchas otras cosas en seguridad, ese no es el único factor. El hecho es que la mayoría de las personas usan la misma contraseña para varios sitios sin ninguna variación, por lo que un pirata informático que obtiene la contraseña para un sitio en muchos casos tendrá acceso a muchos otros sitios. ¿Por qué un pirata informático se tomaría la molestia de buscar patrones cuando potencialmente tienen millones de cuentas de usuario para utilizar sin ningún tipo de trabajo? Solo si están dirigidos específicamente hacia ti, deberías preocuparte por eso.

Agregue a eso el problema de recordar múltiples contraseñas complejas. A menos que sea Rain Man, nunca podría memorizar 40 contraseñas seguras, por lo que contar con un sistema de contraseñas básico que tenga sentido para usted, pero que le tomaría un poco de trabajo entender, es una solución viable para los problemas de autenticación actuales.

En cuanto a mantenerlos a todos rectos, escríbalos y guárdelos en un escritorio cerrado en el trabajo o en un cajón cerrado en su casa. En serio, la gran mayoría de las personas que están tratando de obtener sus contraseñas probablemente están a mitad de camino en todo el mundo que usted, ¡quienes irán a su casa o trabajo para obtener las contraseñas de su cuenta de intercambio de pila!

Este es un enfoque basado en alguien con un nivel de riesgo promedio. Si usted sabe a alguien que podría irrumpir en su casa para obtener sus contraseñas, entonces usar cualquier tipo de patrón en sus contraseñas es una mala idea.

Si un atacante experto concentra sus esfuerzos solo en usted, SI logra comprometer la contraseña de una de las cuentas que posee, sí, podría potencialmente comprometer todas las otras cuentas que posee al intentar una variación de la contraseña que comprometió.

Sin embargo, ¿qué tan probable es que a menos que sus contraseñas desbloqueen millones de dólares o documentos valiosos de alto secreto?

Con las técnicas actuales de descifrar contraseñas (volcado de base de datos, descifrar el 80% de las contraseñas en la base de datos mediante ataques de diccionario), diría que es seguro.

Si la contraseña es lo suficientemente larga y compleja, es posible que incluso el hash de contraseña comprometido no sea fácil de descifrar.

Si un atacante obtiene acceso a su contraseña en texto sin formato, por ejemplo. a través de a sitio web almacenamiento contraseñas as plain text , o rompiendo hashes (bastante fácil en una GPU), probablemente podría deducir cualquier esquema relacionado con el nombre del sitio, por ejemplo "stackRealPassword", "gmailRealPassword", "bankRealPassword".

Creo que has entendido mal el modelo de seguridad de los administradores de contraseñas. Si elige una única contraseña única segura y la memoriza, entonces estará seguro siempre que el administrador de contraseñas sea seguro y la contraseña que eligió sea secreta y única. La función de derivación de claves utilizada en ellos es lo suficientemente lenta como para evitar completamente la fuerza bruta. Personalmente, sugiero KeePass , ya que la función de derivación de claves se puede modificar (es decir, cambiar el número de iteraciones) para que se ajuste a sus propios requisitos de seguridad personales.

Independientemente de la fortaleza de su contraseña, sugiero que no es tan seguro mantener la misma contraseña para todas sus cuentas, porque aunque su contraseña puede ser segura, si se produce alguna violación en el sitio en el que está registrado, no lo es. En todo un problema con la fuerza de su contraseña. Por lo tanto, mantenga pequeñas diferencias para sus contraseñas que nadie más que usted pueda adivinar. Del mismo modo, las frases que mencionó, son lo suficientemente seguras como para recordarlas.