Sistema efectivo y fácil de recordar:
1)Pensamos una palabra que relacionemos con el servicio o aplicación para el cual queramos crear la contraseña. Por ejemplo Menéame ->contraseña: noticias.
2)Ideamos nuestro propio algoritmo para codificar nuestra contraseña, el cual utilizaremos con cada una de las contraseñas que hagamos.
Por ejemplo:
-Sustituir "o" por 0 e "i" por 1. noticias-> n0t1c1as
-Sustituir "A" por 4. n0t1c14s
-Alternar mayúscula con minúscula. n0t1c14s->N0t1C14s
-Introducir carácter especial al principio y al final. N0t1C14s->$N0t1C14s$
3)Profit!
#7 hombre, el algoritmo hará lo que tu digas, no lo que el quiera. Y no hace falta que lo programes tu, existen programas comerciales que te permiten filtrar segun diversos criterios.
La pregunta era esa precisamente, si la ganancia de tiempo seria significativa o no al desechar todo ese conjunto de combinaciones.
me parece mas facil valorar el sitio donde pones la contraseña, si realmente merece una segura y dificil de recordar, o si no pasa nada por que algun dia te hagan una trastada (el 90% de las contraseñas no son para cosas importantes).
En las cosas importantes usas contraseñas seguras (y como cosas importantes se me ocurren contraseña de administrador de dominio y cosas así) y para cosas chorras (meneame, facebook y similares) tienes dos o tres contraseñas segun el grado de importancia que le des y el nivel de confianza que te merezca el sitio.
(por ejemplo, en meneame usas de contraseña iiiiiii, si te roban la cuenta, pues te creas otra.... (no lo intenteis, no os dejara poner esa contraseña, os fuerza a poner numeritos y cosas así... no se por que)
Por otra parte, me crea una duda eso de decir que tienen que tener mayusculas, minusculas, numeros y caracteres raros... no me voy a poner a hacer las cuentas, seguro que alguien las ha hecho antes, pero de esa forma, si descartamos todas las posibilidades de contraseñas enteramente en minusculas, o enteramente en mayusculas, o con cualquiera de las combinaciones que no satisfagan los 4 requisitos, no nos estamos cargando una barbaridad de posibilidades? Por intentar fortalecer el sistema, no lo estas debilitando al descartar todo eso?
#3 Aumentar el juego de caracteres es una forma de dificultar los ataques por fuerza bruta. Un AFB consiste en probar todas las combinaciones posibles: su éxito es una cuestión de tiempo. El objetivo del atacado es, pues, lograr que ese lapso de tiempo sea lo más largo posible.
Por tanto:
- Una contraseña de ocho caracteres con los 26 caracteres en el juego ASCII básico permite 26^8 combinaciones: unos 208000 millones. Accesible para cualquier procesador actual.
- Si añadimos las mayúsculas, nos vamos a 56^8: 96 billones. Vamos mejorando.
- Los números aportan otra ayudita: 66^8, 360 billones de combinaciones.
- Ahora bien, usando los 95 caracteres imprimibles del juego ASCII básico (7 bits), obtenemos casi siete mil billones. Y ojo, que si metes una eñe, quizá nos vayamos a ISO 8859-15, lo que supone 188 caracteres imprimibles. En números, 1,56e+18 combinaciones, con sólo ocho caracteres.
si descartamos todas las posibilidades de contraseñas enteramente en minusculas(...) no nos estamos cargando una barbaridad de posibilidades? Por intentar fortalecer el sistema, no lo estas debilitando al descartar todo eso?
Cometes el mismo error que los que consideran que algunos números de lotería son "feos", cuando el 00001 tiene exactamente las mismas posibilidades de resultar ganador que cualquier "bonito" como 42168.
Los programas que atacan contraseñas por fuerza bruta también han de probar todas las combinaciones de letras minúsculas, porque entran en las posibilidades. La diferencia está en probar sólo las letras minúsculas o tener que hacerlo, por añadidura, con todos los demás caracteres.
#4 como digo, no he hecho numeros (y soy consciente que el cerebro es bastante ineficiente al pensar en probabilidades y exponentes), pero ante un ataque de fuerza bruta, si sabemos que la contraseña cumple las 4 condiciones (por recomendación, o por que el sistema lo obliga (mira meneame, que no te deja poner solo minusculas, o windows cuando el administrador de la red obliga a que hayan mayusculas minusculas y numeros).
Por tanto, puedes limitar el ataque de fuerza bruta SOLO a las contraseñas que contengan mayusculas, minusculas, numeros y caracteres.
Por los numeros que has hecho, puedo entrever que por ejemplo, con numeros, mayusculas y minusculas como requisitos hay 360 billones, a los que habria que restar 96 billones de las combinaciones no permitidas. Es solo un ejemplo para que se entienda lo que quiero decir.
#6 La cuestion es que ningun algoritmo de ataque por fuerza bruta va a desechar combinaciones de forma tan arbitraria. No funcionan asi. Si a un algoritmo que solo busca en letras le añades los numeros y los simbolos, seguira probando todas las combinaciones compuestas exclusivamente por letras.
A no ser, claro esta, que se diseñe un algoritmo diseñado para un sitio en concreto (Meneame) y que se salte las combinaciones no permitidas. Pero la ganancia de tiempo en reventar la clave no seria significativa.
Aun no se como poner las tildes en este teclado...
Haz la regla de tres. Con los números de arriba, si a un algoritmo de fuerza bruta diseñado para intentar reventar contraseñas de ocho caracteres con el juego ISO 8859-15, le "alivias" la carga de trabajo que suponen las contraseñas sólo con letras minúsculas... apenas es un 0,0005% menos de contraseñas a intentar.
Comentarios
La común: 1234
Sistema efectivo y fácil de recordar:
1)Pensamos una palabra que relacionemos con el servicio o aplicación para el cual queramos crear la contraseña. Por ejemplo Menéame ->contraseña: noticias.
2)Ideamos nuestro propio algoritmo para codificar nuestra contraseña, el cual utilizaremos con cada una de las contraseñas que hagamos.
Por ejemplo:
-Sustituir "o" por 0 e "i" por 1. noticias-> n0t1c1as
-Sustituir "A" por 4. n0t1c14s
-Alternar mayúscula con minúscula. n0t1c14s->N0t1C14s
-Introducir carácter especial al principio y al final. N0t1C14s->$N0t1C14s$
3)Profit!
#7 hombre, el algoritmo hará lo que tu digas, no lo que el quiera. Y no hace falta que lo programes tu, existen programas comerciales que te permiten filtrar segun diversos criterios.
La pregunta era esa precisamente, si la ganancia de tiempo seria significativa o no al desechar todo ese conjunto de combinaciones.
me parece mas facil valorar el sitio donde pones la contraseña, si realmente merece una segura y dificil de recordar, o si no pasa nada por que algun dia te hagan una trastada (el 90% de las contraseñas no son para cosas importantes).
En las cosas importantes usas contraseñas seguras (y como cosas importantes se me ocurren contraseña de administrador de dominio y cosas así) y para cosas chorras (meneame, facebook y similares) tienes dos o tres contraseñas segun el grado de importancia que le des y el nivel de confianza que te merezca el sitio.
(por ejemplo, en meneame usas de contraseña iiiiiii, si te roban la cuenta, pues te creas otra.... (no lo intenteis, no os dejara poner esa contraseña, os fuerza a poner numeritos y cosas así... no se por que)
Por otra parte, me crea una duda eso de decir que tienen que tener mayusculas, minusculas, numeros y caracteres raros... no me voy a poner a hacer las cuentas, seguro que alguien las ha hecho antes, pero de esa forma, si descartamos todas las posibilidades de contraseñas enteramente en minusculas, o enteramente en mayusculas, o con cualquiera de las combinaciones que no satisfagan los 4 requisitos, no nos estamos cargando una barbaridad de posibilidades? Por intentar fortalecer el sistema, no lo estas debilitando al descartar todo eso?
#3 Aumentar el juego de caracteres es una forma de dificultar los ataques por fuerza bruta. Un AFB consiste en probar todas las combinaciones posibles: su éxito es una cuestión de tiempo. El objetivo del atacado es, pues, lograr que ese lapso de tiempo sea lo más largo posible.
Por tanto:
- Una contraseña de ocho caracteres con los 26 caracteres en el juego ASCII básico permite 26^8 combinaciones: unos 208000 millones. Accesible para cualquier procesador actual.
- Si añadimos las mayúsculas, nos vamos a 56^8: 96 billones. Vamos mejorando.
- Los números aportan otra ayudita: 66^8, 360 billones de combinaciones.
- Ahora bien, usando los 95 caracteres imprimibles del juego ASCII básico (7 bits), obtenemos casi siete mil billones. Y ojo, que si metes una eñe, quizá nos vayamos a ISO 8859-15, lo que supone 188 caracteres imprimibles. En números, 1,56e+18 combinaciones, con sólo ocho caracteres.
si descartamos todas las posibilidades de contraseñas enteramente en minusculas(...) no nos estamos cargando una barbaridad de posibilidades? Por intentar fortalecer el sistema, no lo estas debilitando al descartar todo eso?
Cometes el mismo error que los que consideran que algunos números de lotería son "feos", cuando el 00001 tiene exactamente las mismas posibilidades de resultar ganador que cualquier "bonito" como 42168.
Los programas que atacan contraseñas por fuerza bruta también han de probar todas las combinaciones de letras minúsculas, porque entran en las posibilidades. La diferencia está en probar sólo las letras minúsculas o tener que hacerlo, por añadidura, con todos los demás caracteres.
#4 como digo, no he hecho numeros (y soy consciente que el cerebro es bastante ineficiente al pensar en probabilidades y exponentes), pero ante un ataque de fuerza bruta, si sabemos que la contraseña cumple las 4 condiciones (por recomendación, o por que el sistema lo obliga (mira meneame, que no te deja poner solo minusculas, o windows cuando el administrador de la red obliga a que hayan mayusculas minusculas y numeros).
Por tanto, puedes limitar el ataque de fuerza bruta SOLO a las contraseñas que contengan mayusculas, minusculas, numeros y caracteres.
Por los numeros que has hecho, puedo entrever que por ejemplo, con numeros, mayusculas y minusculas como requisitos hay 360 billones, a los que habria que restar 96 billones de las combinaciones no permitidas. Es solo un ejemplo para que se entienda lo que quiero decir.
#6 La cuestion es que ningun algoritmo de ataque por fuerza bruta va a desechar combinaciones de forma tan arbitraria. No funcionan asi. Si a un algoritmo que solo busca en letras le añades los numeros y los simbolos, seguira probando todas las combinaciones compuestas exclusivamente por letras.
A no ser, claro esta, que se diseñe un algoritmo diseñado para un sitio en concreto (Meneame) y que se salte las combinaciones no permitidas. Pero la ganancia de tiempo en reventar la clave no seria significativa.
Aun no se como poner las tildes en este teclado...
El eslabón más debil en la seguridad informática siempre es el usuario final...
Haz la regla de tres. Con los números de arriba, si a un algoritmo de fuerza bruta diseñado para intentar reventar contraseñas de ocho caracteres con el juego ISO 8859-15, le "alivias" la carga de trabajo que suponen las contraseñas sólo con letras minúsculas... apenas es un 0,0005% menos de contraseñas a intentar.