Desde hace un tiempo, me ha interesado el concepto de frase de contraseña como un sustituto potencialmente más seguro de las contraseñas clásicas. Mi interés surgió de un presentimiento de que las frases de contraseña serían de una entropía más baja que las contraseñas dada su naturaleza.
Aquí está mi lógica. De mi investigación basada en Google, la mayoría de las publicaciones tipo blog que un usuario típico de una computadora podría leer frases de contraseña aclamadas como algo seguro y sorprendente, e incluso un sitio afirmó que el software de descifrado de contraseñas existente es incapaz de descifrar las frases de contraseña ya que son demasiado largas. Literalmente, esto es cierto, pero un simple cambio en los diccionarios que alimentan su cracker de contraseñas puede solucionarlo. Sin embargo, aquí está mi lógica:
Contraseñas:
Los usuarios ahora están algo acostumbrados a la idea de que las contraseñas deben ser complicadas, utilizando el símbolo y la sustitución de números y su extensión. Personalmente uso contraseñas basadas en palabras de diccionario poco comunes con sustituciones de símbolos y números aleatorios. Técnicamente, un usuario que elige una contraseña de 8 caracteres (al azar) tendría una entropía de contraseña de 94 ^ 8. Por supuesto, la mayoría de las personas no tienen contraseñas realmente aleatorias, pero explicaré por qué creo que esto se cancelará con un error humano similar en las frases de contraseña en breve. Ese es un número enorme loco, ya que 94 ^ 8 = 6.1 x 10 ^ 15.
Frases (>>
En todas partes, y todos los que he visto hablar sobre frases de contraseña, siempre han dado ejemplos de minúsculas, símbolos o frases numéricas, como la tira xkcd clásica con la "grapa correcta para la batería del caballo". Según el Diccionario de Oxford aquí hay aproximadamente 170 000 palabras utilizadas actualmente en el diccionario de inglés. Suponiendo que los usuarios seleccionan en promedio una frase de contraseña de tres palabras (ya que parece que ya excede la pereza del usuario), es decir, una entropía de 170000 ^ 3 = 4.9 x 10 ^ 15, que es aproximadamente un 20% más baja que la contraseña elegida al azar de 8 caracteres. Ahora, antes de argumentar que nadie usa contraseñas generadas aleatoriamente, será igualmente raro que las personas elijan palabras totalmente aleatorias del diccionario de inglés. En su lugar, los usuarios frecuentemente usarán dichos comunes. Incluso si las personas evitan dichos comunes, no soy un experto en lingüística, pero hay opciones limitadas que pueden seguir una palabra en el idioma lógico, reduciendo seriamente las posibles permutaciones utilizadas en las frases de contraseña.
Teniendo esto en cuenta, sostengo que al menos el incumplimiento de la aleatoriedad en las frases de contraseña será igual, si no superior, al incumplimiento de la aleatoriedad en la creación de contraseñas, ya que los usuarios adquieren una falsa sensación de seguridad con el concepto de frases de contraseña.
Por lo tanto, presento mi pregunta formal, estoy pasando por alto algunas consideraciones clave aquí o estoy en lo correcto y las frases de contraseña son menos seguras, no solo igual de seguras que las contraseñas, y no son una forma nueva y revolucionaria de hacer que su contraseña / frase de contraseña sea mucho más difícil de adivinar?