Contraseña entropía contra contraseña

5

Desde hace un tiempo, me ha interesado el concepto de frase de contraseña como un sustituto potencialmente más seguro de las contraseñas clásicas. Mi interés surgió de un presentimiento de que las frases de contraseña serían de una entropía más baja que las contraseñas dada su naturaleza.

Aquí está mi lógica. De mi investigación basada en Google, la mayoría de las publicaciones tipo blog que un usuario típico de una computadora podría leer frases de contraseña aclamadas como algo seguro y sorprendente, e incluso un sitio afirmó que el software de descifrado de contraseñas existente es incapaz de descifrar las frases de contraseña ya que son demasiado largas. Literalmente, esto es cierto, pero un simple cambio en los diccionarios que alimentan su cracker de contraseñas puede solucionarlo. Sin embargo, aquí está mi lógica:

Contraseñas:

Los usuarios ahora están algo acostumbrados a la idea de que las contraseñas deben ser complicadas, utilizando el símbolo y la sustitución de números y su extensión. Personalmente uso contraseñas basadas en palabras de diccionario poco comunes con sustituciones de símbolos y números aleatorios. Técnicamente, un usuario que elige una contraseña de 8 caracteres (al azar) tendría una entropía de contraseña de 94 ^ 8. Por supuesto, la mayoría de las personas no tienen contraseñas realmente aleatorias, pero explicaré por qué creo que esto se cancelará con un error humano similar en las frases de contraseña en breve. Ese es un número enorme loco, ya que 94 ^ 8 = 6.1 x 10 ^ 15.

Frases (>

En todas partes, y todos los que he visto hablar sobre frases de contraseña, siempre han dado ejemplos de minúsculas, símbolos o frases numéricas, como la tira xkcd clásica con la "grapa correcta para la batería del caballo". Según el Diccionario de Oxford aquí hay aproximadamente 170 000 palabras utilizadas actualmente en el diccionario de inglés. Suponiendo que los usuarios seleccionan en promedio una frase de contraseña de tres palabras (ya que parece que ya excede la pereza del usuario), es decir, una entropía de 170000 ^ 3 = 4.9 x 10 ^ 15, que es aproximadamente un 20% más baja que la contraseña elegida al azar de 8 caracteres. Ahora, antes de argumentar que nadie usa contraseñas generadas aleatoriamente, será igualmente raro que las personas elijan palabras totalmente aleatorias del diccionario de inglés. En su lugar, los usuarios frecuentemente usarán dichos comunes. Incluso si las personas evitan dichos comunes, no soy un experto en lingüística, pero hay opciones limitadas que pueden seguir una palabra en el idioma lógico, reduciendo seriamente las posibles permutaciones utilizadas en las frases de contraseña.

Teniendo esto en cuenta, sostengo que al menos el incumplimiento de la aleatoriedad en las frases de contraseña será igual, si no superior, al incumplimiento de la aleatoriedad en la creación de contraseñas, ya que los usuarios adquieren una falsa sensación de seguridad con el concepto de frases de contraseña.

Por lo tanto, presento mi pregunta formal, estoy pasando por alto algunas consideraciones clave aquí o estoy en lo correcto y las frases de contraseña son menos seguras, no solo igual de seguras que las contraseñas, y no son una forma nueva y revolucionaria de hacer que su contraseña / frase de contraseña sea mucho más difícil de adivinar?

    
pregunta dFrancisco 19.01.2018 - 21:58
fuente

1 respuesta

6

Dos puntos generales.

En primer lugar, el beneficio de las frases de contraseña es que facilitan más fácilmente que los usuarios generen entropía mientras aún recuerdan su clave. Generar entropía a través de caracteres aleatorios es difícil , y cuanto más difícil sea algo, menos personas lo harán.

La razón por la que se cita el cómic de XKCD no es solo la matemática, es que las personas que no han visto el cómic en años pueden todavía decirle cuál es la contraseña. Ese es el punto del cómic: que esos bytes de entropía eran fáciles de recordar para un humano.

En segundo lugar, es posible que desee echar un vistazo a:

enlace

¿El punto culminante principal? La entropía media de la contraseña es 21.6. Aka, se pierde por un factor de 2 mil millones de tu número 94 ^ 8. ¿La razón? Los usuarios no eligen caracteres ascii aleatorios. No eligen letras aleatorias con mayúsculas aleatorias. No eligen letras aleatorias. Simplemente eligen una palabra y la decoran.

Básicamente, es más fácil hacer que una persona perezosa genere entropía a través de una frase de contraseña de 15 caracteres que generar una entropía a través de una contraseña de 8 caracteres.

    
respondido por el Kevin 19.01.2018 - 23:28
fuente

Lea otras preguntas en las etiquetas