Generar una contraseña fuerte y segura es fundamental para proteger sus cuentas bancarias u otras cuentas en línea, y para usar con software como AES Crypt .
La pregunta que mucha gente hace es: "¿Qué es una contraseña segura?" Descubrirá que algunos sitios web exigirán el uso de caracteres especiales, incluidos !, %, $, etc. Dichos requisitos en realidad no contribuyen significativamente a la solidez de una contraseña, como verá a continuación. El secreto de una buena contraseña es la aleatoriedad y la longitud.
Muchos de los detalles que se encuentran en la página a continuación pueden no ser de interés para la mayoría de las personas, por lo que puede omitirlos. Quizás lo que la mayoría de la gente podría querer es una de estas dos aplicaciones:
- Software generador de contraseñas seguras (secuencia de comandos Perl, código fuente C para Linux y Windows, y ejecutable de Windows).
Crear una contraseña segura
De forma predeterminada, el Generador de contraseñas seguras de Packetizer genera contraseñas usando solo letras, números y dígitos. Además, recomendamos el uso de esos caracteres para que sea más fácil de usar para los humanos. Después de todo, para eso están las contraseñas: para los humanos. Es justo preguntar si tales contraseñas son lo suficientemente seguras para varias aplicaciones. La respuesta es "sí", ya que la longitud y la aleatoriedad de la contraseña determinan su fuerza. vamos a explicar
Nota: el software generador de contraseñas al que se hace referencia anteriormente generará contraseñas utilizando caracteres especiales si se solicita; simplemente no lo hacemos por defecto y no lo recomendamos.
La razón por la que no recomendamos el uso de caracteres especiales es que los caracteres especiales como '&' aumentan muy poco la seguridad de la contraseña, pero hacen que sea más difícil de usar para los humanos. Lo importante es el número de bits de fuerza. La contraseña anterior utiliza 62 valores posibles diferentes, incluidos números, letras mayúsculas y minúsculas. Esto significa que cada carácter proporciona alrededor de 5,95 bits de fuerza (log2(62)). Doce de estos caracteres producirán 71,45 bits de fuerza. Eso significa que hay alrededor de 2^71,45 (o 3,23x10^21) valores posibles que un pirata informático debe inspeccionar para descifrar la contraseña.
Si prefiere una contraseña un poco más segura, puede generar una a partir de un conjunto de 93 caracteres diferentes que usan caracteres especiales (p. ej., $, !, %) además de letras y números. El uso de 93 caracteres diferentes proporciona alrededor de 6,54 bits de fuerza por carácter (log2(93)). Entonces, 12 caracteres proporcionan 78,47 bits de fuerza. Eso significa que hay alrededor de 2^78,47 (o 4,18 x 10^23) valores posibles.
¿Cuál es el beneficio?
Con caracteres especiales, hay una fuerza total de 78,47 bits, frente a 71,45 bits con la contraseña más amigable. Eso es solo 7 bits. Si desea tener la fuerza adicional, use una contraseña de 14 caracteres. Una contraseña de 14 caracteres compuesta únicamente por letras y números proporcionaría 83,35 bits de seguridad. Con 16 caracteres compuestos por letras y números, obtenemos un total de 95,27 bits de fuerza, lo que proporciona 2^95,27 o (4,77 x 10^28) valores posibles.
Otro punto importante es que nunca debemos preocuparnos de que una contraseña sea más fácil para los humanos. A las computadoras no les importa cuán fácil es una contraseña para los humanos. Una computadora simplemente trabajará a través de las combinaciones de caracteres, sin importar cuáles puedan ser esos caracteres. Lo importante, como hemos dicho antes, es la longitud y la aleatoriedad de la contraseña. A estas alturas, debería quedar claro que cuando nos referimos a la longitud, nos referimos a la longitud en bits de la contraseña.
Para aplicaciones como AES Crypt , la seguridad de la contraseña es más importante que para el sitio web típico. Dicho software producirá archivos que podrían ser atacados fuera de línea durante un período de años con muchas computadoras en paralelo. AES Crypt usa una clave de cifrado de 256 bits, pero usa una contraseña para proteger esa clave. Idealmente, esto significa que las contraseñas también deben tener al menos 256 bits de longitud. Solo por si acaso, recomendamos usar contraseñas que brinden 384 bits de protección. Para lograr eso, se necesitarían al menos 43 caracteres en la contraseña, lo que arrojaría 43*log2(62) ~= 256 bits de fuerza. Si cree que la seguridad de la contraseña debería ser más fuerte, entonces cree una más larga usando las herramientas anteriores (o concatenando dos contraseñas aleatorias más cortas juntas).
Descifrar contraseñas
A partir de 2011, existen productos comerciales que afirman poder generar 2.800.000.000 contraseñas por segundo (fuente: Wikipedia ). Entonces, con contraseñas de 12 caracteres compuestas de letras y números, a una sola computadora le tomaría 3.23x10^21 contraseñas / 2.8x10^9 contraseñas/segundo / 3.154x10^7 segundos/año = 36,513 años para descifrar.
En 2012, hubo afirmaciones de que un producto comercial podía descifrar contraseñas a una velocidad de 350 mil millones por segundo. A ese ritmo, un carácter de 12 letras y números podría descifrarse en 3,23x10^21 contraseñas/3,5x10^11 contraseñas/segundo/3,154x10^7 segundos/año = 292,3 años para descifrar.
Algunos sistemas especialmente diseñados pueden descifrar contraseñas a una velocidad mucho mayor, pero incluso si se procesan a una velocidad de 10x o 100x, llevará mucho tiempo descifrarlas. Además, un atacante no debería tener la oportunidad de atacar un servidor remoto durante tanto tiempo. Por lo tanto, estamos seguros de que una contraseña de 12 caracteres es bastante aceptable para cualquier sitio web.
Para los casos en los que un atacante pueda tener acceso prolongado a un hash de contraseña para realizar un ataque fuera de línea, recomendamos usar 14 o más caracteres. En comparación, una contraseña de 16 caracteres tardaría 4300 millones de años en descifrarse (2^(log2(62)*16) contraseñas / 3,5x10^11 contraseñas/segundo / 3,154x10^7 segundos/año).
Se recomienda usar una contraseña aún más larga para cosas como AES Crypt, como se indicó en la sección anterior, ya que los piratas informáticos pueden tener acceso prolongado a sus datos y pueden usar cualquier cantidad de máquinas de craqueo en paralelo.
Por qué contraseñas aleatorias
Dijimos varias veces que la seguridad de la contraseña es una función de la longitud y la aleatoriedad de las contraseñas. Sin embargo, gran parte del artículo se centró en la longitud. No olvides la importancia de la aleatoriedad.
Algunos generadores de contraseñas en Internet crean contraseñas largas, pero muy "simples". Por ejemplo, pueden generar contraseñas que son una concatenación de palabras y números en inglés como "Spoon2Gobbler". No recomendamos usar esos. Tales contraseñas facilitan que los atacantes realicen un ataque de "diccionario" en su contraseña. Incluso las "palabras" que no son palabras reales, pero fonéticamente atractivas, generan contraseñas más débiles. Siempre es mejor tener contraseñas compuestas de bits de datos aleatorios que nadie pueda adivinar. Hágalos verdaderamente aleatorios y descifrarlos se vuelve extremadamente difícil.
Para darte un ejemplo, supongamos que usaste la contraseña "Spoon2Gobbler" anterior. Supongamos que el atacante tenía un diccionario de 100.000 palabras. Por supuesto, estas palabras estarían en ese diccionario. Supongamos que el atacante sabía que la contraseña podría tener cualquiera de las siguientes formas: palabra + dígitos + palabra, palabra + dígitos, dígitos + palabra. Además, el atacante podría suponer que las palabras estaban todas en minúsculas o tenían un carácter inicial en mayúsculas. Suponga también que el número de dígitos puede ser 1 o 2. Para atacar la primera forma (palabra + dígitos + palabra), el atacante probaría (100 000 * 2) * 100 * (100 000 * 2) combinaciones. Son 4 billones de combinaciones impresionantes, pero esa máquina de descifrado de contraseñas de alta gama solo tardaría 23,81 minutos en descifrarse. Es probable que los piratas informáticos también utilicen un diccionario aún más pequeño, porque la mayoría de las personas solo seleccionaría de un diccionario de palabras de uso común que probablemente tengan menos de 5,000 palabras. Si podemos suponer un diccionario de 5000 palabras, el mismo ataque tardaría unos 4 segundos.
¿Quieres obligar a una persona a trabajar durante unos pocos millones de años o unos segundos para acceder a tu información confidencial o cuentas bancarias? La longitud y la aleatoriedad son realmente esenciales.
Fuente: packetizer.com
PUEDES REVISAR LA SEGURIDAD DE TU CONTRASEÑA EN LA SIGUIENTE WEB:
No hay comentarios.:
Publicar un comentario