Es tan común ahora que todos lo hacemos sin siquiera pensarlo: cree una contraseña que tenga al menos x caracteres, tenga al menos un número y un símbolo, y no sea su nombre o apellido. Ya sea que esté en el trabajo o creando una ID de Apple, estos requisitos de contraseña para una contraseña "sólida" están en todas partes.
Después de crear una nueva contraseña en un sitio un día, comencé a pensar en cuán diferentes son todos los requisitos fueron. Algunos sitios quieren contraseñas de no menos de 3 caracteres y algunos imponen un mínimo de 8. Algunos quieren símbolos, otros no. Algunos se preocupan por su nombre y contraseñas anteriores, otros no. Entonces, ¿qué contraseña es realmente sólida?
Investigué un poco y descubrí dos cosas cuando se habla de que alguien "descifró" su contraseña: en primer lugar, está la fortaleza de su contraseña y, en segundo lugar, está la La fuerza del cifrado que convierte la contraseña en galimatías cuando se almacena.
Rápidamente me di cuenta de que todo el concepto de una contraseña segura es muy matemático y se han realizado numerosos estudios sobre este tema. El que me llamó la atención y que mencionaré en esta publicación es de Estudio Carnegie-Mellon 2011.
Pruebe su contraseña primero
Antes de entrar en lo que una contraseña segura es, veamos cuánto tardaría en descifrar su contraseña supuestamente sólida. Para comprobarlo, vamos a utilizar una herramienta en el sitio de PassFault:
https://passfault.appspot.com/password_strength.html
Así es como funciona. Escriba su contraseña y haga clic en Analizar. Tiene dos opciones que están ocultas de manera predeterminada, pero puede hacer clic en Mostrar opciones. Vamos a explicar lo que significan.
Cracking Hardware adopta de manera predeterminada un atacante de contraseña de $ 900, que sería posible para un hacker legítimo. También tienen la opción de elegir un atacante con contraseña de $ 180,000, que los chinos podrían usar si es tan costoso. El menú desplegable Protección de contraseña le ofrece algunas opciones para el tipo de cifrado utilizado para almacenar la contraseña. El sistema Microsoft Windows es el más débil, no es sorprendente. Luego tiene un punto de acceso inalámbrico WPA, UNIX SHA1, UNIX Blowfish y 100 rondas de SHA1.
Probé la contraseña segura que uso en un par de sitios y me sorprendió ver que se podía descifrar en 1 día!
Guau, eso es bastante malo. Así que elegí las opciones de encriptación más fuertes (Unix Blowfish y 100 rondas de SHA1) y me alegré de ver que los resultados tardarían más de un día: 1 año y 7 meses para Unix Blowfish y 2 meses y 2 días con 100 rondas de SHA1 . Sin embargo, con el atacante con contraseña de $ 180,000, bajó a 11 días y 3 días, respectivamente. No es aceptable, pensé! Quiero que mi contraseña tarden años en descifrarse, incluso con un cracker de contraseñas super caro. ¿Pero cuál es la mejor manera ya que estoy usando una contraseña de 9 caracteres con números y un símbolo?
¿Qué hace que una contraseña sea fuerte?
Aquí es donde el estudio Carnegie-Mellon arroja algo de luz en todo el asunto. Básicamente lo que encontraron es que cuanto más larga es la contraseña que usas, más fuerte es. Esto no necesariamente significa que la contraseña más larga tiene que tener muchos símbolos o números, solo tiene que ser larga. Con 16 caracteres, todo lo que debes evitar es usar palabras del diccionario súper fáciles.
¿No estás convencido de que sea posible? En el sitio PassFault, use la siguiente contraseña, que tiene solo 15 caracteres y es súper fácil de recordar:
ilovemywifealot
Luego, para las opciones, elija el atacante con contraseña de $ 180,000 y elija la el cifrado más débil (Microsoft Windows) y esto es lo que obtienes:
¡1 mes y 7 días! Eso es mucho mejor que el descifrado de mi contraseña en 1 día. Entonces, ¿qué pasa con mi contraseña? Bueno, aparentemente, si su contraseña es más corta, entonces necesita usar más símbolos, letras al azar y números para fortalecerla. Si es más largo, como más de 15 a 16 caracteres, entonces no tiene que preocuparse por agregar todo tipo de números y símbolos. Con una contraseña más larga, incluso puede usar más palabras del diccionario y aún así será muy seguro. Obviamente, una contraseña como hellohellohelloaún apestaría aunque tenga 15 caracteres:
apesta porque va a ser en el diccionario y es la misma palabra tres veces. En mi primera contraseña, donde le profeso mi amor a mi esposa, la frase rápidamente comienza a parecer un galimatías a una computadora y ningún diccionario de crackeo tiene esa frase de 15 caracteres como una palabra. Los diccionarios tienen palabras en el diccionario, por lo que siempre que evites las palabras del diccionario, estarás listo. Mi contraseña podría haber sido aún mejor si hubiera usado el nombre de mi esposa o un apodo para ella en lugar de la palabra "esposa". ¿Tiene la idea?
Obviamente, si puede agregar un número de símbolos en una contraseña larga también, la contraseña se vuelve aún más ridículamente fuerte. Por ejemplo, supongamos que pongo un signo de admiración delante de la contraseña de mi esposa y agrego un número hasta el final. Entonces, ¿cuánto tiempo tomaría crackear con las mismas opciones?
¡Santa vaca! ¡Así pasó de 1 mes 7 días a 4 siglos y 1 década! Sí siglos !! Ahora esa es una contraseña segura y no es muy difícil de recordar. Por lo tanto, verifique su contraseña con esta herramienta gratuita en línea y si su contraseña se resquebraja dentro de unos días, podría ser momento de pensar en algo nuevo, especialmente para su información confidencial como contraseñas bancarias, etc.
Recuerde, muchos de estos sitios en línea son pirateados todo el tiempo, por lo que su contraseña nunca es segura. Sin embargo, si usa una contraseña realmente sólida, incluso si el cifrado es muy débil, ¡una supercomputadora tardaría una eternidad en descifrarla! Si probó su contraseña en el sitio mientras leía esta publicación, háganos saber en los comentarios cuánto tiempo llevaría crackearla. ¡Disfruta!