¿Por qué Keepass2 disminuiría la calidad de la contraseña después de agregar otro carácter?

Question

¿Por qué Keepass2 disminuiría la calidad de la contraseña después de agregar otro carácter?

#1 de dr jimbob (9 votos)
#2 de daniel Azuelos (1 votos)

5

En Keepass2 estaba escribiendo una contraseña y noté que la cantidad de bits se redujo. ¿Por qué sería esto? Estaba usando dos palabras y las mezclé al reemplazar ciertas letras con números.

password-management

pregunta Celeritas 07.08.2013 - 07:22

fuente

2 respuestas

Lea otras preguntas en las etiquetas password-management

Entendiendo a los PRGs: ¿Cómo podemos expandir la aleatoriedad? ¿Se ha comprobado matemáticamente que el 100% (o el 99%) sea seguro?

score 9 · Answer 1

No he revisado el código fuente de keepass2, pero los cálculos de entropía dependen mucho del modelo utilizado. Mi conjetura es su cambio, hace que keepass2 salte entre diferentes modelos para determinar cómo está haciendo el cálculo subyacente. Cualquier cálculo de entropía para una contraseña dada es necesariamente inexacto si no se está utilizando el método que generó la contraseña.

Por ejemplo, se supondría que una forma muy ingenua de modelar una contraseña dada como P@s$w0rd se supone que se trata de 8 caracteres aleatorios seleccionados con un conjunto de 96 posibles caracteres ASCII imprimibles, con una entropía de lg (96 ^ 8) ~ 52.7 bits: una contraseña algo razonable (contra ataques en línea o contra un hash como bcrypt con un número adecuado de rondas). La elección aleatoria de 8 caracteres de ASCII imprimible es tan probable que produzca P@s$w0rd como cualquier otra contraseña (incluso las que parecen aleatorias 9MD10]'e ) ..

Sin embargo, realmente puede ver que hay una forma de menor entropía para generar esta contraseña. Se basa en una palabra base muy común ( password ): ligeramente modificada, con un promedio de cuatro o cuatro posibles mutaciones (4 = 2 ^ 2 y 2 bits) para cada letra. Entonces, al ser una de las 1000 palabras base más populares (10 bits de entropía) más 2 bits por cada letra, un total de aproximadamente 26 bits de entropía, que es muy débil.

Por lo tanto, algunas calculadoras de contraseñas buscarán patrones reconocibles para descontar este efecto. Pueden reconocer un patrón en una contraseña más larga o una contraseña con un conjunto de caracteres más grande, que no reconocieron antes. Por ejemplo, es posible que no se den cuenta de que d@s$w0rd se basa en una contraseña (con un d que se repite es un p rotado y no usa letras mayúsculas) y puede otorgarle una puntuación más alta que P@s$w0rd .

score 1 · Answer 2

La entropía de una contraseña no aumenta proporcionalmente a su longitud.

La entropía puede disminuir porque aumenta la regularidad del patrón de la contraseña o porque la contraseña se está acercando a un punto vulnerable de ataque del diccionario.

Este es el resultado de una prueba a ciegas con la estimación de fortaleza de la contraseña de Google. La entropía de la contraseña probada disminuye con la longitud porque se aproxima a un punto débil del diccionario .