Acabo de leer un artículo de John D. Sutter (@jdsutter), en el que dice que tiene que empezar la era de las contraseñas de 12 caracteres para que nuestra seguridad en línea sea absolutamente segura. Lo hace basándose en un informe publicado esta semana por el Instituto de Tecnología de Georgia. Según han podido probar, una contraseña típica de 4, 6 u 8 caracteres es pan comido para un cracker amateur. En un par de horas la tendría en su poder. Sin embargo una de 12 llevaría 17.134 años descifrarla...
Comentarios
Alucinante. Escribe un artículo sobre seguridad en contraseñas y te manda a que compruebes la fortaleza de éstas a Microsoft Online Safety.
Recupero un comentario que hice hace algunos meses, donde se analizaba este asunto:
¿Cuán segura es mi contraseña?/c43#c-43
Y lamentablemente, 12 caracteres son insuficientes, en algunas circunstancias. 12 caracteres pueden resistir un ataque por fuerza bruta, pero las probabilidades de éxito de un ataque mediante rainbowtables ( tablas precalculadas de hashes ) es bastante alto, si el hash que almacena la contraseña no incluye técnicas de salt. Esto hace vulnerables nuestras contraseñas, p.ej, en caso de robo de la base de datos que las contiene "cifradas".
Como ya recomendé en su momento "es el momento de las frases y no de las contraseñas".
Algunas frases sugeridas: dos.no.se.pelean.si.uno.no.quiere, a$quien$madruga$dios$le$ayuda o a!dios!rogando!y!con!el!mazo!dando
Para más información sobre rainbowtables: http://en.wikipedia.org/wiki/Rainbow_table
seria una buena manera de parar los cracker , pero la pregunta es si te descifran una de 8 caracteres no tendrían ningún problema con 4 caracteres mas ... tu que crees
#1 Supongo que el tiempo que tardas en descifrar una letra más es exponencial.
Como si le pone 24 caracteres, como te metan un troyano o mediante "phising" ya puedes poner asteriscos, numeros y caracteres raros.
Lo que no entiendo es como 8 caracteres puede ser "facil" y 12 llevaria 17mil años no lo veo claro.
Si supongo que se va a los 17mil años supongo que lo hace por el tipico prueba/error hasta descubrir cual es porque si es por troyano, keyloggers y similares da igual que sea de 8 o de 200.
Por lo que siendo a base de prueba de error si la pagina lleva que a las 3 veces se te jode y te la bloquea hasta que no vuelvas ha ctivarla por email... ¿?
Esto lo digo sin tener ni idea ojo pero son dudas que segun como lo plantea no lo entiendo.
#5 El escenario que plantea es un ataque por fuerza bruta, cuyo proceso es exponencial.
8 caracteres tienen una robustez teórica de 2^64 posibilidades ( 18446744073709551616 combinaciones ) y digo teórica porque eso sería así si usases todo el espacio posible, si sólo usas caracteres alfanumericos las posibilidades son del orden de 2^42, bastante trivial.
12 caracteres ofrecen una robustez teórica de 2^96 es decir 79228162514264337593543950336 posibilidades, y una robustez para alfanuméricos de aproximadamente 2^64 posibilidades
En conclusión, debido a que la gente tiene la fea costumbre de sólo usar letras minúsculas y números, la calidad de las contraseñas merma varios órdenes de magnitud. Y para que la contraseña tenga una robustez aceptable para soportar la fuerza bruta, su complejidad mínima real debe ser de 2^64
En cuanto al tema de los troyanos / keyloggers ... evidentemente si uno de los 2 extremos, cliente o servidor, están troyanizados, la seguridad no existe porque el entorno está comprometido.
#6 Con las nuevas generaciones de (key)loggers, cada día está más fácil: http://www.keelog.com/es/
¿Cuantos de vosotros revisáis los conectores antes de teclear la contraseña?