¿Es malo agregar una contraseña adivinable a una contraseña aleatoria?

Question

¿Es malo agregar una contraseña adivinable a una contraseña aleatoria?

#1 de John (8 votos)

5

Digamos que una persona tiene una contraseña que usaron antes de saber cómo hacer buenas contraseñas, como peter123 . Digamos también que cuando pensaban en una mejor contraseña, descubrieron que solo podían recordar 8 letras en una cadena aleatoria. Digamos que la cadena aleatoria particular que eligieron aquí es atwer1414 .

¿Qué es una contraseña más segura: atwer1414 o atwer1414peter123 ? Asumiría que el más largo es más seguro, pero no sé lo suficiente sobre el hash para saber si el peter123 conocido / conjeturable que se encuentra allí daría cualquier información sobre atwer1414 .

passwords hash

pregunta Loktopus 27.12.2015 - 19:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords hash

Cómo funciona el certificado de cliente para la autenticación (en la API web) ¿Qué tan seguro está Scrypt?

score 8 · Accepted Answer

Ciertamente, una contraseña más larga con una complejidad comparable o mayor, como su ejemplo, da como resultado una contraseña más segura.

Aunque tenemos que decir qué significa "seguro" en este contexto. Un atacante no debería poder forzar el inicio de sesión. Una contraseña larga y compleja también se agrega a la seguridad si un atacante alguna vez tuviera acceso a la base de datos de contraseñas (si no las almacena como texto sin formato).

En realidad, existen dos escenarios con respecto a la seguridad de la contraseña que se ven afectados por la complejidad y la longitud de su contraseña. El primero es un atacante que solo puede probar contra una caja negra, por ejemplo. El inicio de sesión de un sitio web. Si su contraseña sería demasiado trivial como "contraseña", entonces un atacante puede obtener un acceso fácil, incluso con muchos mecanismos de seguridad (excluyendo la autenticación de dos factores). Esto se vuelve mucho más difícil para un atacante cuanto más larga es la contraseña, especialmente porque la mayoría de los sitios web limitan los intentos de inicio de sesión.

El segundo escenario es una violación de la base de datos donde el ataque tiene acceso a la base de datos de contraseñas. La seguridad de su contraseña, que significa "¿Puede el atacante averiguar mi contraseña?", No solo depende de usted, sino de cómo el sitio web maneja todas las contraseñas. Si los almacena en texto sin formato, los pierde, no importa lo complejos que sean. Lo que es inseguro, pero a menudo ocurre, es el hashing simple sin sal o un salt global para todas las cuentas. En este caso, es útil tener una contraseña compleja y larga, ya que lo que hace el atacante es verificar los hashes de la base de datos contra listas pre-computadas de contraseñas comunes o incluso diccionarios completos de combinaciones. Una contraseña larga y compleja significa que se necesitan más intentos para el ataque. Un sitio web debidamente protegido debe usar una sal por usuario (y quizás pimienta), haciendo que las tablas y diccionarios del arco iris sean bastante inútiles. Esto incluso protegería contraseñas bastante simples, pero mientras más largas, mejor (o más seguras).

Por lo tanto, la razón por la que debe usar una contraseña larga y compleja es el primer escenario y el segundo escenario en caso de una seguridad inadecuada. También puede ver que la seguridad real también depende de los desarrolladores web, no solo de su contraseña.