1. Inicio
  2. Pregunta y respuesta
  3. ¿Por qué las contraseñas con subcadenas repetitivas son débiles?

¿Por qué las contraseñas con subcadenas repetitivas son débiles?

2009-08-25 16 views
8

Muchos sitios web tienen fuerza la comprobación de contraseña herramienta, que le dice qué tan fuerte es su contraseña¿Por qué las contraseñas con subcadenas repetitivas son débiles?

Digamos que tengo

st4cK0v3rFl0W

que siempre se considera súper fuerte, pero cuando lo hago

st4cK0v3rFl0Wst4cK0v3rFl0W

de repente es súper débil. También he escuchado que cuando la contraseña tiene una secuencia repetitiva pequeña, es mucho más débil.

Pero, ¿cómo puede el segundo ser más débil que el primero, cuando es el doble de largo?

Fuente

2009-08-25 Jakub Arnold

+3

La longitud de la contraseña solo hace que la contraseña sea más segura contra los ataques de fuerza bruta. En realidad, este es en gran medida el último recurso. –

+0

Creo que la mayoría de estas herramientas de contraseñas no tienen sentido. – Gumbo

+1

Sería bueno si pudieras publicar un enlace desde donde oíste eso. –

Respuesta

10

Parece que el comprobador de la fuerza de la contraseña está dañado. No es un gran problema, supongo, pero una contraseña fuerte repetida no es más débil que la contraseña original.

Fuente

2009-08-25 11:47:53

+0

Es más bien lo contrario: cuanto más larga es la passwort, más stonger es. – Gumbo

+1

Después de cierto punto (que se mueve constantemente con capacidades de hardware, pero que estimaría en alrededor de 8 caracteres en este momento, sin computación paralela) no es más seguro (en términos prácticos), ya que no puede ser forzado de todas formas. Otros vectores de ataque ignoran la longitud de entrada porque no intentan recrear la entrada o porque intentan retroceder desde la salida. O porque van detrás de ti, el usuario le dice la contraseña a la persona mala. –

+0

La entropía de una contraseña es probable que sea de solo unos pocos bits por letra, así que, para estar seguro, colocaría la longitud mínima de seguridad un poco más alta, por ejemplo, alrededor de 11 caracteres (e incluso con una excelente resistencia por carbonización en al menos 7 caracteres). En cualquier caso, tu punto está bien tomado; una contraseña razonablemente segura es virtualmente indescifrable, si está rota, no es por fuerza bruta incluso * si * el atacante tiene el hash de la contraseña. –

0

Supongo que puede generar un hash más "obvio".

Por ejemplo abba -> a737y4gs, pero abbaabba -> 1y3k1y3k, concedido que este es un ejemplo tonto, pero la idea es que repetir patrones en la clave haría que el hash parezca menos "aleatorio".

Fuente

2009-08-25 11:43:46 Sint

+5

Duda. Las funciones hash usualmente no funcionan de esa manera :-) – Joey

+1

¿No están hechas las funciones hash para generar salidas muy diferentes para entradas similares? –

+0

Como dije, este es un ejemplo tonto. :) Ninguna función hash sería tan débil. Por otra parte .. – Sint

2

Supongo que debe escribir su contraseña dos veces con el teclado, así que para eso, si hay alguien frente a usted, puede notarlo.

Fuente

2009-08-25 11:47:10

3

Supongo que es simplemente trivial comprobar si alguien está atacando su contraseña. Probar cada contraseña duplicada y triplicada también solo duplica o triplica el trabajo. Sin embargo, incluir más caracteres posibles en una contraseña, como los signos de puntuación, aumenta la complejidad de forzar tu contraseña mucho más.

Sin embargo, en la práctica, casi todas las advertencias no obvias (léase: impermeables al diccionario [sí, eso incluye 1337ificar una palabra de diccionario]) con 8 o más caracteres pueden considerarse razonablemente seguras. Por lo general, es mucho menos trabajo realizar una ingeniería social de ti de alguna manera o simplemente usar un registrador de pulsaciones.

Fuente

2009-08-25 11:48:33 Joey

2

El algoritmo está roto.

O usa una detección de doblete y la anota inmediatamente como mala. O calcula una fuerza que es de alguna manera relativa a la longitud de la cuerda, y la cuerda repetida es más débil que la cadena comparable al azar de igual longitud.

Fuente

2009-08-25 11:48:45 u0b34a0f6ae

1

Podría ser un error por la contraseña comprobador de trentecidad - reconoce un patrón ... Un patrón no es bueno para una contraseña, pero en este caso es un patrón en una cadena compleja ... Otra razón puede ser el señalado por la respuesta del Wael Dalloul: Someone can see the repeated text when you type it. Cualquier espías tienen dos posibilidades de ver lo que escribe ...

Fuente

2009-08-25 11:53:51 awe

0

mientras que en la práctica el más largo es probablemente más fuerte, creo que puede haber debilidades potenciales cuando usted entra en el quid de la cuestión de cómo funcionan los sistemas de cifrado y encriptación. ... posiblemente ...

Aparte de eso, repetiría las otras respuestas de que el verificador de fuerzas que está utilizando no está teniendo todos los aspectos en cuenta con mucha precisión.

Solo un pensamiento ...

Fuente

2009-08-25 12:21:33

1

La mejor razón que se me ocurre, viene del Electronic Authentication Guide, publicado por NIST. Da una regla general sobre cómo estimar la entropía en una contraseña.

La longitud es solo un criterio para la entropía. Existe el conjunto de caracteres de la contraseña que también está involucrado, pero estos no son los únicos criterios. Si lee de cerca la investigación de Shannon sobre las contraseñas seleccionadas por el usuario, notará que se asigna una entropía más alta a los bits iniciales, y una entropía menor a la última, ya que es bastante posible inferir los siguientes bits de la contraseña de la anterior.

Esto no quiere decir que las contraseñas largas son malas, solo que las contraseñas largas con una mala selección de caracteres tienen la misma probabilidad de ser débiles que las contraseñas más cortas.

Fuente

2009-08-25 12:53:42

Cuestiones relacionadas

 Cuestiones relacionadas