Su análisis es correcto en esto: aleatoriedad lo es todo . El atacante intentará "contraseñas potenciales" y será derrotado solo al elegir su contraseña en un conjunto lo suficientemente grande, de modo que la cantidad de "contraseñas potenciales" exceda en gran medida lo que el atacante puede probar prácticamente con la potencia de cálculo y el tiempo libre disponible para él. .
En la práctica, repetir la misma palabra varias veces es un truco clásico, que muchas personas usan debido al mito generalizado de que las contraseñas más largas son más fuertes : esto está mal, pero muchas personas lo creen. Como muchas personas siguen la estrategia de palabras repetidas, las herramientas de descifrado de contraseñas también lo siguen.
Por lo tanto, lo mejor que podría esperar para la entropía de una contraseña de palabra repetida es la suma de la entropía de la palabra base y la entropía del conteo de repetición (o longitud total de la contraseña) (esta es una suma porque yo Estoy expresando la entropía en bits, que es una escala logarítmica). Por ejemplo, si elige la palabra base en una lista de un poco más de 30000 palabras posibles (que es un vocabulario ya bastante extenso, para los estándares de hoy), entonces eso es 15 bits para la palabra base. Si luego repite la palabra para lograr cualquier longitud entre 12 y 27 caracteres, y la longitud se elige al azar, entonces eso es 4 bits adicionales (16 opciones para la longitud), para un total de 19 bits de entropía, es decir, no una mucha entropía después de todo.
Un punto adicional a considerar es que la longitud de la contraseña puede perder . No en el hash, sino en otros contextos:
-
Los "surfistas de hombro" pueden echar un vistazo a tu pantalla cuando ingresas la contraseña. Solo verán una colección de viñetas (los campos de entrada de la contraseña están ocultos), pero podrían ver cuántas aparecen esas balas, lo que arroja la longitud de la contraseña.
-
En un contexto similar, las personas que están al alcance del oído pueden intentar calcular la cantidad de pulsaciones de teclas, lo que nuevamente genera la cantidad de contraseñas.
-
En un contexto HTTPS (es decir, un formulario de inicio de sesión de la Web), la contraseña que escriba será Enviado al túnel SSL, encapsulado en un formulario web. Eavesdropper en la línea no podrá ver la contraseña (SSL hace el cifrado) pero sí podrá ver la longitud de la solicitud HTTP, porque la longitud de los datos se filtra de SSL (con una precisión de un byte cuando se utiliza una suite de cifrado basada en RC4, ya que los servidores web son propensos a imponerse en un intento un tanto equivocado de derrotar el ataque BEAST, que ya no funciona , por cierto).
Resumen: la estrategia de palabras repetidas no produce mucha seguridad adicional, posiblemente ninguna si la contraseña longitud se ha filtrado, lo que ocurre con el uso de varias contraseñas contextos Como tal, esta estrategia no es un buen uso de la disposición del usuario para escribir una contraseña compleja o larga (y que es un recurso escaso).