Queremos brindarte la mejor respuesta que descubrimos por todo internet. Deseamos que te sirva de ayuda y si quieres compartir algo que nos pueda ayudar a mejorar siéntete libre de hacerlo..
Solución:
Los generadores de contraseñas suelen evitar los caracteres específicos del idioma porque no estarían disponibles universalmente (los teclados estadounidenses no tienen caracteres acentuados, por ejemplo). Por lo tanto, no tome su omisión de estas herramientas como una indicación de que podrían ser débiles o problemáticas.
Cuanto mayor sea el conjunto de símbolos (a-z
, A-Z
, 0-9
, etc.) cuanto mayor sea el grupo de caracteres posibles para tratar de adivinar al forzar una contraseña. Agregar caracteres específicos del idioma se suma al grupo, y eso puede ser algo bueno.
Pero tenga cuidado con la forma de calcular la entropía. El string ààààààààààà
no tiene mucha entropía si solo lo presiona en su teclado porque es conveniente. La entropía se trata de cómo se eligen los personajes. Al azar elegido string tiene alta entropía y una elección aleatoria string de un amplio grupo de caracteres tiene una entropía más alta.
¡SÍ!
Todas las contraseñas solo deben contener caracteres ASCII imprimibles. No “ASCII extendido”, ni Latin-1, ni Unicode.
La razón es que nunca se sabe lo que realmente recibe un programa cuando se presiona “à” o similar.
En muchas versiones de “ASCII extendido”, “à” se codifica como (hex) 85.
En ISO Latin-1, “à” se codifica como (hexadecimal) E0.
En Unicode, “à” es el punto de código U + 00E0. Cuando se codifica con UTF-8, el resultado es (hex) C3 (hex) A0.
Justin Time señala en un comentario que existe otra posibilidad. Incluso si todo el mundo habla Unicode, “à” se puede almacenar de diferentes formas. Hay U + 00E0 como se indica arriba, pero también hay una versión compuesta (U + 0061 U + 0300) que es “a” seguida de (COMBINING GRAVE ACCENT). Un programa escrito correctamente se encargará de esto, pero es extremadamente común tener errores en esta área.
Cualquiera que tenga un carácter nacional en su nombre o dirección los ha visto destrozados de muchas maneras diferentes. Cuando esto sucede, es feo, pero la carta generalmente se entrega de todos modos.
Cuando esto le sucede a un contraseña, ¡el resultado es que no puede iniciar sesión! Simplemente no vayas allí.
La mayoría de los llamados verificadores de seguridad de contraseñas no comprenden ni las contraseñas ni la entropía correctamente. yo tengo siempre Encontré algo ridículo que pasa como una contraseña segura. Pruebe su nombre más su fecha de nacimiento (con puntos o barras, según lo requiera su localidad). Allí están sus letras mayúsculas y minúsculas, caracteres especiales y números, y sin embargo, nadie en su sano juicio recomendaría eso como contraseña.
Y, sin embargo, “JohnDoe01.01.1980” puntúa “220 billones de años” en https://howsecureismypassword.net/ y 100% en http://www.passwordmeter.com/.
https://www.my1login.com/resources/password-strength-test/ es el único verificador que encontré que comprende la estupidez. Ingrese este ejemplo y observe cómo su estimación va de “fantástico” a “medio” cuando ingresa el último número y “obtiene” que hay una fecha del calendario.
Entonces: use más que los primitivos motores de cálculo de entropía para juzgar las contraseñas.
Para su caso específico eso significa:
en papel extender el conjunto de caracteres aumenta drásticamente el espacio de búsqueda y debería hacer que las contraseñas sean radicalmente más seguras. en realidad El 99,9% de los usuarios utilizarán su propia configuración regional y una a en español o una diéresis en alemán son solo algunos caracteres adicionales, y no todo el espacio UTF-8. Porque sería una tontería suponer que un atacante no tiene en cuenta la naturaleza humana básica.
También están los aspectos de usabilidad. Una vez tuve que iniciar sesión en mi cuenta de forma remota desde un cibercafé japonés, y eso definitivamente no fue divertido. Si mi nombre de usuario, contraseña o cualquiera de los comandos que necesitaba hubiera incluido caracteres no ASCII, no creo que hubiera habido ninguna forma de hacer que eso sucediera.
Si es remotamente posible que tenga que iniciar sesión en su máquina desde un teclado diferente al que está usando ahora, los caracteres demasiado especiales lo mantendrán fuera de su propia cuenta mejor que una contraseña olvidada.
Y ni siquiera hablemos de Unicode y sus muchas implementaciones rotas, que podrían causar problemas adicionales.
Estas son también algunas de las razones por las que los generadores de contraseñas evitan los caracteres que no son ASCII:
No hay suficiente seguridad adicional para compensar todos los problemas potenciales.
Y, por favor, por favor, deje de pensar en la complejidad de las contraseñas. Es un puente de hombre de paja de aceite de serpiente. La longitud supera a la complejidad cualquier día y si está utilizando generadores de contraseñas, probablemente también los esté almacenando en un administrador de contraseñas y no le importa si escribe 10, 20, 40 o 200 caracteres.
La mejor sugerencia n. ° 1 para la seguridad de las contraseñas es utilizar una contraseña nueva, larga y aleatoria para cada sitio de Internet en el que se registre, de modo que su contraseña no se pierda en el próximo truco. Porque no puedes estar seguro de que los pican y salan correctamente, y si no es así, toda la complejidad y los caracteres especiales del mundo no importan en lo más mínimo.