Saltar al contenido

La entropía de la contraseña varía entre diferentes comprobaciones

Intenta comprender el código de forma correcta antes de adaptarlo a tu proyecto y si tquieres aportar algo puedes comentarlo.

Solución:

Intentando agregar a la otra respuesta de Connor:

Algo importante a tener en cuenta es que la entropía, por supuesto, es, en esencia, “la cantidad de aleatoriedad” en la contraseña. Por lo tanto, parte del motivo por el cual los diferentes verificadores de entropía no estarán de acuerdo es porque la entropía es una medida de cómo se generó la contraseña, no de lo que contiene. Un ejemplo extremo suele ser la mejor manera de mostrar lo que quiero decir. Imagina que mi contraseña fuera frphevgl.fgnpxrkpunatr.pbzPbabeZnapbar.

Un verificador de entropía probablemente calificará eso con una gran cantidad de entropía porque no contiene palabras y es largo. No contiene números, pero tomando un cálculo simple (como lo que Connor describió en su respuesta y lo que hacen la mayoría de las calculadoras de entropía), puede adivinar una entropía de 216 bits de entropía: lejos más de lo que necesita una contraseña típica en estos días (38 caracteres con una combinación de mayúsculas y minúsculas da 52 ^ 38 ≈ 2 ^ 216).

Sin embargo, al ver eso, alguien podría sospechar que mi contraseña no es aleatoria en absoluto y podría darse cuenta de que es solo la transformación rot13 de site name + my name. Por lo tanto, la realidad es que no hay entropía en mi contraseña en absoluto, y cualquiera que sepa cómo genero mis contraseñas sabrá cuál es mi contraseña para cada sitio en el que me conecto.

Este es un ejemplo extremo, pero espero que se entienda. La entropía está determinada no por el aspecto de la contraseña, sino por cómo se genera. Si usa algunas reglas para generar una contraseña para cada sitio, es posible que sus contraseñas no tengan ninguna entropía, lo que significa que cualquiera que conozca sus reglas conoce sus contraseñas. Si usa mucha aleatoriedad, entonces tiene una contraseña de alta entropía y es segura incluso si alguien sabe cómo crea sus contraseñas.

Las calculadoras de entropía hacen suposiciones sobre cómo se generaron las contraseñas y, por lo tanto, pueden estar en desacuerdo entre sí y también estar muy equivocadas. Además, XKCD siempre es aplicable cuando se trata de este tipo de cosas.

La entropía de la contraseña se calcula por el número de posibilidades que podría tener a la potencia de la longitud, es decir. Contraseña de 8 caracteres de letras mayúsculas y minúsculas = (26*2)8(26 caracteres del alfabeto * 2 para mayúsculas y minúsculas).

Si también incluye los números 0-9, entonces esa potencia se convierte en 26 * 2 + 10, y si también incluye caracteres especiales, este número puede volverse bastante grande para la cantidad de posibilidades.

Como ejemplo, tomaremos una contraseña QweRTy123456, (una contraseña horrible que conozco). Esta contraseña tiene 12 caracteres, por lo que la potencia es el número 12, usa mayúsculas, minúsculas y números, por lo que tenemos 6212. Lo que da un número total de posibilidades de 3.2262668e+21.

Ahora si tomamos esa misma contraseña, pero todo en minúsculas, es decir. qwerty123456el valor que tenemos es 3612dándonos un potencial de 4.7383813e+18, todavía un número enorme pero mucho más pequeño que usar mayúsculas también.

La seguridad de la contraseña depende de dos factores principales, la longitud y la complejidad. Como ejemplo, mostraré un PIN numérico de 4 frente a 8 caracteres para mostrar la diferencia. Entonces, para un número pin de 4 dígitos, 104 tenemos 10.000 combinaciones posibles, y si usamos un pin de 8 dígitos, es decir. 108 tenemos 100.000.000 de posibilidades. Entonces, al duplicar la longitud de la contraseña, hemos multiplicado por 10 000 los posibles candidatos.

El segundo factor de las contraseñas se basa en la complejidad, es decir. mayúsculas y minúsculas, caracteres especiales, etc. Di un ejemplo arriba para mostrar cómo esto aumenta rápidamente al usar más conjuntos de caracteres.

Solo una nota final, una contraseña no es tan fuerte como su potencial, porque una contraseña de 12 caracteres podría ser el lugar de nacimiento de alguien, el nombre de una mascota, etc. El contenido de una contraseña también es extremadamente importante. El modelo de 4 palabras aleatorias tiende a ser bastante popular y seguro, obligatorio xkcd.

La respuesta de ConorMancone brinda una excelente explicación y un ejemplo del contenido de una contraseña frente a la entropía, por lo que sugiero que también la lea para obtener más información sobre este tema.

Entonces, en resumen, tome la cantidad de posibilidades del conjunto de caracteres, a la potencia de la longitud de la contraseña, y divídala por 2 para obtener un método confiable para obtener la seguridad de la contraseña basada en técnicas de fuerza bruta.

Espero que esto responda a su pregunta, si tiene más, deje un comentario y actualizaré esto para reflejar sus preguntas.

La entropía de la contraseña se calcula: Conociendo (o adivinando) el algoritmo utilizado para generar la contraseña y recopilando la cantidad de puntos de bifurcación diferentes utilizados para generar la contraseña que eligió.

Déjame dar algunos ejemplos:

Clave: clave

Esto no es 26 ^ 8 (o 2 ^ 38), porque el algoritmo no era “elegir 8 caracteres en minúsculas al azar”. El algoritmo era: elegir una sola palabra, muy fácil de recordar. ¿Cuántas palabras de este tipo hay? Si decide, “hay 200 de esas palabras”, entonces está viendo alrededor de 8 bits de entropía (no 38).

Clave: contraseña6

Similar a la entrada anterior, esto no es 36 ^ 9 (o 2 ^ 47), porque el algoritmo es elegir una palabra única, muy fácil de recordar, y luego decorarla al final con un número de un solo dígito. La entropía aquí es de alrededor de 11 bits (no 47).

Clave: alfombra#terraform2

A estas alturas ya puedes adivinar lo que está pasando. Dos palabras relativamente poco comunes, con un carácter de puntuación entre ellas y un dígito numérico al final. Si estima que esas palabras se eligieron de un diccionario de 10000 palabras (2 ^ 13), está viendo algo así como 33 bits de entrofia (13 para la primera palabra + 4 para la puntuación + 13 para la segunda palabra + 3 para el dígito final.)

Entonces, ahora, para responder a su pregunta directa: ¿por qué los diversos verificadores de entropía dan valores diferentes?

Bueno, usemos esa última contraseña: carpet#terraform2.

Un evaluador de entropía podría decir: “Oye, no tengo ni idea de cómo generaste esto. Así que deben ser caracteres aleatorios entre minúsculas, puntuación y números. Llámalo 52^17, o 97 bits de entropía (2^97. )”

Otro evaluador de entropía un poco más inteligente podría decir: “Oye, reconozco esa primera palabra, pero la segunda string de letras es simplemente aleatorio. Entonces, el algoritmo es una sola palabra poco común, una puntuación, nueve letras aleatorias y luego un número. Entonces 10000 x 16 x 26^9 x 10, o 63 bits de entropía”

Un tercer y cuarto evaluador de entropía podrían descifrar correctamente el algoritmo utilizado para generarlo. Pero el tercer evaluador piensa que ambas palabras deberían provenir de un diccionario de 5000 palabras, pero el cuarto evaluador piensa que tienes que entrar en un diccionario de 30 000 palabras para encontrarlas. Entonces, uno obtiene 32 bits de entropía mientras que el otro piensa que hay 37 bits.

Esperemos que esté empezando a tener sentido. La razón por la que diferentes evaluadores de entropía obtienen diferentes números es porque todos obtienen diferentes evaluaciones sobre cómo se generó la contraseña.

Calificaciones y reseñas

Te invitamos a asistir nuestro trabajo escribiendo un comentario o valorándolo te damos las gracias.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *