De Wikipedia, la enciclopedia libre
Ir a navegaciónSaltar a buscar
Menú de opciones de la herramienta de generación de contraseñas aleatorias en KeePass . Habilitar más subconjuntos de caracteres aumenta la fortaleza de las contraseñas generadas en una pequeña cantidad, mientras que al aumentar su longitud, aumenta la fortaleza en gran medida.

La fuerza de la contraseña es una medida de la efectividad de una contraseña contra ataques de adivinación o de fuerza bruta . En su forma habitual, estima cuántas pruebas necesitaría un atacante que no tiene acceso directo a la contraseña, en promedio, para adivinarla correctamente. La solidez de una contraseña depende de la longitud, la complejidad y la imprevisibilidad. [1]

El uso de contraseñas seguras reduce el riesgo general de una infracción de seguridad, pero las contraseñas seguras no reemplazan la necesidad de otros controles de seguridad eficaces . [2] La efectividad de una contraseña de una fortaleza dada está fuertemente determinada por el diseño y la implementación de los factores (conocimiento, propiedad, inherencia). El primer factor es el foco principal de este artículo.

La velocidad a la que un atacante puede enviar contraseñas adivinadas al sistema es un factor clave para determinar la seguridad del sistema. Algunos sistemas imponen un tiempo de espera de varios segundos después de un pequeño número (por ejemplo, tres) de intentos fallidos de introducción de contraseña. En ausencia de otras vulnerabilidades, dichos sistemas se pueden proteger de manera efectiva con contraseñas relativamente simples. Sin embargo, el sistema debe almacenar información sobre las contraseñas del usuario de alguna forma y si esa información es robada, digamos al violar la seguridad del sistema, las contraseñas del usuario pueden estar en riesgo.

En 2019, el NCSC del Reino Unido analizó bases de datos públicas de cuentas violadas para ver qué palabras, frases y cadenas de caracteres usaban las personas. El primero de la lista fue 123456, que aparece en más de 23 millones de contraseñas. La segunda cadena más popular, 123456789, no fue mucho más difícil de descifrar, mientras que las cinco principales incluyeron " qwerty ", "contraseña" y 1111111. [3]

Creación de contraseña

Las contraseñas se crean de forma automática (utilizando equipo de aleatorización) o por un humano; el último caso es más común. Si bien la fuerza de las contraseñas elegidas al azar contra un ataque de fuerza bruta se puede calcular con precisión, determinar la fuerza de las contraseñas generadas por humanos es un desafío. [4]

Normalmente, a los seres humanos se les pide que elijan una contraseña, a veces guiados por sugerencias o restringidos por un conjunto de reglas, al crear una nueva cuenta para un sistema informático o un sitio web de Internet . Solo son posibles estimaciones aproximadas de la fuerza, ya que los humanos tienden a seguir patrones en tales tareas, y esos patrones generalmente pueden ayudar a un atacante. [5] Además, las listas de contraseñas comúnmente elegidas están ampliamente disponibles para que las utilicen los programas de adivinación de contraseñas. Dichas listas incluyen los numerosos diccionarios en línea para varios lenguajes humanos, bases de datos violadas de texto sin formato y contraseñas con hash de varias cuentas comerciales y sociales en línea, junto con otras contraseñas comunes. Todos los elementos de dichas listas se consideran débiles, al igual que las contraseñas que son simples modificaciones de ellos.

Aunque en la actualidad hay disponibles programas de generación de contraseñas aleatorias que están pensados ​​para ser fáciles de usar, todavía suelen generar contraseñas aleatorias difíciles de recordar, lo que a menudo hace que las personas elijan implementar las suyas propias. Sin embargo, esto es intrínsecamente inseguro porque el estilo de vida de la persona, las preferencias de entretenimiento y otras cualidades individualistas clave generalmente entran en juego para influir en la elección de la contraseña, mientras que la prevalencia de las redes sociales en línea ha facilitado mucho la obtención de información sobre las personas.

Validación de adivinar la contraseña

Los sistemas que usan contraseñas para la autenticación deben tener alguna forma de verificar cualquier contraseña ingresada para obtener acceso. Si las contraseñas válidas simplemente se almacenan en un archivo o base de datos del sistema, un atacante que obtenga suficiente acceso al sistema obtendrá todas las contraseñas de usuario, lo que le dará al atacante acceso a todas las cuentas en el sistema atacado y posiblemente a otros sistemas donde los usuarios emplean la misma o contraseñas similares. Una forma de reducir este riesgo es almacenar solo un hash criptográfico de cada contraseña en lugar de la contraseña en sí. Hash criptográficos estándar, como el algoritmo Secure Hash(SHA) son muy difíciles de revertir, por lo que un atacante que se apodera del valor hash no puede recuperar directamente la contraseña. Sin embargo, el conocimiento del valor hash permite al atacante probar rápidamente las conjeturas sin conexión. Los programas de descifrado de contraseñas están ampliamente disponibles y probarán una gran cantidad de contraseñas de prueba contra un hash criptográfico robado.

Las mejoras en la tecnología informática siguen aumentando la velocidad a la que se pueden probar las contraseñas adivinadas. Por ejemplo, en 2010, el Georgia Tech Research Institute desarrolló un método para usar GPGPU para descifrar contraseñas mucho más rápido. [6] Elcomsoft inventó el uso de tarjetas gráficas comunes para una recuperación más rápida de la contraseña en agosto de 2007 y pronto presentó la patente correspondiente en los EE. UU. [7] En 2011, había productos comerciales disponibles que afirmaban tener la capacidad de probar hasta 112.000 contraseñas por segundo en una computadora de escritorio estándar, utilizando un procesador de gráficos de alta gama para ese momento. [8]Tal dispositivo descifrará una contraseña de seis letras de un solo caso en un día. Tenga en cuenta que el trabajo se puede distribuir entre muchas computadoras para una aceleración adicional proporcional a la cantidad de computadoras disponibles con GPU comparables. Hay disponibles hashes especiales de estiramiento de teclas que tardan un tiempo relativamente largo en calcularse, lo que reduce la velocidad a la que se pueden realizar las conjeturas. Aunque se considera una buena práctica utilizar el estiramiento de claves, muchos sistemas comunes no lo hacen.

Otra situación en la que es posible adivinar rápidamente es cuando la contraseña se utiliza para formar una clave criptográfica . En tales casos, un atacante puede comprobar rápidamente si una contraseña adivinada decodifica correctamente los datos cifrados. Por ejemplo, un producto comercial afirma probar 103.000 contraseñas WPA PSK por segundo. [9]

Si un sistema de contraseñas solo almacena el hash de la contraseña, un atacante puede calcular previamente los valores hash para las variantes de contraseñas comunes y para todas las contraseñas más cortas que una cierta longitud, lo que permite una recuperación muy rápida de la contraseña una vez que se obtiene su hash. Las listas muy largas de hashes de contraseñas precalculadas se pueden almacenar de manera eficiente utilizando tablas de arco iris . Este método de ataque puede frustrarse almacenando un valor aleatorio, llamado sal criptográfica., junto con el hash. La sal se combina con la contraseña al calcular el hash, por lo que un atacante que precalcule una tabla de arco iris tendría que almacenar para cada contraseña su hash con todos los valores de sal posibles. Esto se vuelve inviable si la sal tiene un rango lo suficientemente grande, digamos un número de 32 bits. Desafortunadamente, muchos sistemas de autenticación de uso común no emplean sales y las tablas de arco iris están disponibles en Internet para varios de estos sistemas.

La entropía como medida de la fuerza de la contraseña

Es habitual en la industria informática especificar la seguridad de las contraseñas en términos de entropía de la información , que se mide en bits y es un concepto de la teoría de la información . En lugar de la cantidad de conjeturas necesarias para encontrar la contraseña con certeza, se proporciona el logaritmo en base 2 de ese número, que comúnmente se conoce como la cantidad de "bits de entropía" en una contraseña, aunque esta no es exactamente la misma cantidad. como entropía de información. [10] Una contraseña con una entropía de 42 bits calculada de esta manera sería tan fuerte como una cadena de 42 bits elegida al azar, por ejemplo, mediante un lanzamiento de moneda justo . Dicho de otra manera, una contraseña con una entropía de 42 bits requeriría 2 42(4,398,046,511,104) intenta agotar todas las posibilidades durante una búsqueda de fuerza bruta . Por lo tanto, aumentar la entropía de la contraseña en un bit duplica el número de conjeturas necesarias, lo que hace que la tarea de un atacante sea dos veces más difícil. En promedio, un atacante tendrá que probar la mitad del número posible de contraseñas antes de encontrar la correcta. [5]

Contraseñas aleatorias

Las contraseñas aleatorias consisten en una cadena de símbolos de longitud especificada tomados de algún conjunto de símbolos mediante un proceso de selección aleatoria en el que cada símbolo tiene la misma probabilidad de ser seleccionado. Los símbolos pueden ser caracteres individuales de un conjunto de caracteres (por ejemplo, el conjunto de caracteres ASCII ), sílabas diseñadas para formar contraseñas pronunciables o incluso palabras de una lista de palabras (formando así una frase de contraseña ).

La fuerza de las contraseñas aleatorias depende de la entropía real del generador de números subyacente; sin embargo, estos a menudo no son verdaderamente aleatorios, sino pseudoaleatorios. Muchos generadores de contraseñas disponibles públicamente utilizan generadores de números aleatorios que se encuentran en bibliotecas de programación que ofrecen una entropía limitada. Sin embargo, la mayoría de los sistemas operativos modernos ofrecen generadores de números aleatorios criptográficamente fuertes que son adecuados para la generación de contraseñas. También es posible utilizar dados ordinarios para generar contraseñas aleatorias. Vea métodos más fuertes . Los programas de contraseñas aleatorias a menudo tienen la capacidad de garantizar que la contraseña resultante cumpla con una política de contraseñas local ; por ejemplo, produciendo siempre una combinación de letras, números y caracteres especiales.

Para las contraseñas generadas por un proceso que selecciona al azar una cadena de símbolos de longitud, L , de un conjunto de N símbolos posibles, el número de posibles contraseñas se puede encontrar mediante el aumento del número de símbolos a la potencia de L , es decir, N L . El aumento de L o N fortalecerá la contraseña generada. La fuerza de una contraseña aleatoria medida por la entropía de la información es solo el logaritmo en base 2 o el log 2 del número de contraseñas posibles, asumiendo que cada símbolo de la contraseña se produce de forma independiente. Por lo tanto, la entropía de información de una contraseña aleatoria, H, viene dada por la fórmula:

donde N es el número de símbolos posibles y L es el número de símbolos en la contraseña. H se mide en bits . [5] [11] En la última expresión, log puede tener cualquier base .

Un byte binario se suele expresar mediante dos caracteres hexadecimales.

Para encontrar la longitud, L, necesaria para lograr la fuerza deseada H, con una contraseña extraída al azar de un conjunto de N símbolos, se calcula:

donde denota redondeo al siguiente número entero más grande .

La siguiente tabla usa esta fórmula para mostrar las longitudes requeridas de contraseñas generadas verdaderamente al azar para lograr las entropías de contraseña deseadas para conjuntos de símbolos comunes:

Contraseñas generadas por humanos

Las personas son notoriamente pobres para lograr la entropía suficiente para producir contraseñas satisfactorias. Según un estudio que involucró a medio millón de usuarios, la entropía de contraseña promedio se estimó en 40.54 bits. [12] Algunos magos de teatro explotan esta incapacidad para divertirse, de una manera menor, adivinando supuestas elecciones aleatorias (de números, digamos) hechas por miembros de la audiencia.

Así, en un análisis de más de 3 millones de contraseñas de ocho caracteres, la letra "e" se utilizó más de 1,5 millones de veces, mientras que la letra "f" se utilizó sólo 250.000 veces. Una distribución uniforme habría tenido cada carácter utilizado unas 900.000 veces. El número más común utilizado es "1", mientras que las letras más comunes son a, e, o y r. [13]

Los usuarios rara vez hacen un uso completo de conjuntos de caracteres más grandes para formar contraseñas. Por ejemplo, los resultados de piratería obtenidos de un esquema de phishing de MySpace en 2006 revelaron 34.000 contraseñas, de las cuales solo el 8,3% utilizaba mayúsculas, números y símbolos mixtos. [14]

La fuerza total asociada con el uso de todo el conjunto de caracteres ASCII (números, mayúsculas y minúsculas y caracteres especiales) solo se logra si todas las contraseñas posibles son igualmente probables. Esto parece sugerir que todas las contraseñas deben contener caracteres de cada una de varias clases de caracteres, quizás letras mayúsculas y minúsculas, números y caracteres no alfanuméricos. De hecho, tal requisito es un patrón en la elección de contraseñas y se puede esperar que reduzca el "factor de trabajo" de un atacante (en términos de Claude Shannon). Esta es una reducción en la "fuerza" de la contraseña. Un mejor requisito sería requerir una contraseña que NO contenga ninguna palabra en un diccionario en línea, o una lista de nombres, o cualquier patrón de matrícula de cualquier estado (en los EE. UU.) O país (como en la UE). Si se requieren opciones con patrones,es probable que los humanos los utilicen de formas predecibles, como poner en mayúscula una letra, agregar uno o dos números y un carácter especial. Esta previsibilidad significa que el aumento de la seguridad de la contraseña es menor en comparación con las contraseñas aleatorias.

Publicación especial del NIST 800-63-2

La Publicación Especial NIST 800-63 de junio de 2004 (revisión dos) sugirió un esquema para aproximar la entropía de las contraseñas generadas por humanos: [5]

Usando este esquema, se estima que una contraseña de ocho caracteres seleccionada por humanos sin mayúsculas y caracteres no alfabéticos O con cualquiera de los dos conjuntos de caracteres tiene dieciocho bits de entropía. La publicación del NIST reconoce que en el momento del desarrollo, había poca información disponible sobre la selección de contraseñas en el mundo real. Investigaciones posteriores sobre la entropía de contraseñas seleccionadas por humanos utilizando datos del mundo real recientemente disponibles han demostrado que el esquema NIST no proporciona una métrica válida para la estimación de entropía de contraseñas seleccionadas por humanos. [15] La revisión de junio de 2017 del SP 800-63 (revisión tres) elimina este enfoque. [dieciséis]

Consideraciones de usabilidad e implementación

Debido a que las implementaciones de teclados nacionales varían, no todos los 94 caracteres imprimibles ASCII se pueden usar en todas partes. Esto puede representar un problema para un viajero internacional que desea iniciar sesión en un sistema remoto usando un teclado en una computadora local. Ver distribución del teclado . Muchos dispositivos portátiles , como tabletas y teléfonos inteligentes , requieren secuencias de turnos complejas o el intercambio de aplicaciones de teclado para ingresar caracteres especiales.

Los programas de autenticación varían en cuanto a los caracteres que permiten en las contraseñas. Algunos no reconocen las diferencias entre mayúsculas y minúsculas (por ejemplo, la "E" mayúscula se considera equivalente a la "e" minúscula), otros prohíben algunos de los otros símbolos. En las últimas décadas, los sistemas han permitido más caracteres en las contraseñas, pero aún existen limitaciones. Los sistemas también varían en la longitud máxima de contraseñas permitidas.

En la práctica, las contraseñas deben ser razonables y funcionales para el usuario final, así como lo suficientemente seguras para el propósito previsto. Las contraseñas que son demasiado difíciles de recordar pueden olvidarse y, por lo tanto, es más probable que se escriban en papel, lo que algunos consideran un riesgo para la seguridad. [17] Por el contrario, otros argumentan que obligar a los usuarios a recordar contraseñas sin ayuda solo puede admitir contraseñas débiles y, por lo tanto, plantea un mayor riesgo de seguridad. Según Bruce Schneier , la mayoría de las personas son buenas para proteger sus billeteras o carteras, que es un "gran lugar" para almacenar una contraseña escrita. [18]

Bits de entropía necesarios

El número mínimo de bits de entropía necesarios para una contraseña depende del modelo de amenaza para la aplicación dada. Si no se utiliza la extensión de clave , se necesitan contraseñas con más entropía. RFC 4086, "Requisitos de aleatoriedad para la seguridad", publicado en junio de 2005, presenta algunos modelos de amenazas de ejemplo y cómo calcular la entropía deseada para cada uno. [19] Sus respuestas varían entre 29 bits de entropía necesarios si solo se esperan ataques en línea, y hasta 96 bits de entropía necesarios para claves criptográficas importantes utilizadas en aplicaciones como cifrado donde la contraseña o la clave deben estar seguras durante un largo período de tiempo. el tiempo y el estiramiento no son aplicables. A 2010 Georgia Tech Research InstituteUn estudio basado en claves sin estirar recomendó una contraseña aleatoria de 12 caracteres, pero como requisito de longitud mínima. [6] [20] Tenga en cuenta que la potencia informática sigue creciendo, por lo que para evitar ataques fuera de línea, los bits necesarios de entropía también deberían aumentar con el tiempo.

El extremo superior está relacionado con los estrictos requisitos de elección de claves utilizadas en el cifrado. En 1999, un proyecto de Electronic Frontier Foundation rompió el cifrado DES de 56 bits en menos de un día utilizando hardware especialmente diseñado. [21] En 2002, distribution.net descifró una clave de 64 bits en 4 años, 9 meses y 23 días. [22] A partir del 12 de octubre de 2011, distribution.net estima que descifrar una clave de 72 bits utilizando el hardware actual tardará unos 45.579 días o 124,8 años. [23] Debido a las limitaciones actualmente conocidas de la física fundamental, no hay expectativas de que ninguna computadora digital(o combinación) será capaz de romper el cifrado de 256 bits mediante un ataque de fuerza bruta. [24] Aún se desconoce si las computadoras cuánticas podrán o no hacerlo en la práctica, aunque el análisis teórico sugiere tales posibilidades. [25]

Directrices para contraseñas seguras

Directrices comunes

Las pautas para elegir buenas contraseñas generalmente están diseñadas para hacer que las contraseñas sean más difíciles de descubrir mediante adivinaciones inteligentes. Entre las directrices comunes defendidas por los defensores de la seguridad de los sistemas de software se incluyen las siguientes: [26] [27] [28] [29] [30]

  • Considere una longitud mínima de contraseña de 8 [31] caracteres como guía general, pero tenga en cuenta que, si bien las contraseñas largas son buenas, la memorización y la facilidad de uso son criterios importantes a considerar. El departamento de seguridad cibernética del Reino Unido ya no especifica la longitud mínima [32] específicamente, y tanto él como la seguridad cibernética de EE. UU. Promueven la simplicidad de la contraseña como más segura que la complejidad. Como referencia, Facebook tiene miles de millones de usuarios y una longitud mínima de contraseña de solo 6 caracteres. [33]
  • Genere contraseñas al azar cuando sea posible.
  • Evite utilizar la misma contraseña dos veces (p. Ej., En varias cuentas de usuario y / o sistemas de software).
  • Evite la repetición de caracteres, patrones de teclado, palabras del diccionario, secuencias de letras o números.
  • Evite el uso de información que esté o pueda estar asociada públicamente con el usuario o la cuenta, como el nombre de usuario, los nombres de los antepasados ​​o las fechas.
  • Evite el uso de información que los colegas y / o conocidos del usuario puedan saber que está asociada con el usuario, como nombres de familiares o mascotas, vínculos románticos (actuales o pasados) e información biográfica (por ejemplo, números de identificación, nombres o fechas de ancestros). .
  • No utilice contraseñas que consistan totalmente en una combinación simple de los componentes débiles antes mencionados.

El uso forzado de caracteres alfabéticos en minúsculas y mayúsculas, números y símbolos en las contraseñas era una política común, pero se ha descubierto que en realidad reduce la seguridad, al facilitar su descifrado. La investigación ha demostrado cuán predecible es el uso común de tales símbolos, y los departamentos de seguridad cibernética del gobierno de EE.UU., [34] Reino Unido [35] desaconsejan forzar su inclusión en la política de contraseñas. Los símbolos complejos también hacen que recordar las contraseñas sea mucho más difícil, lo que aumenta la escritura, el restablecimiento de contraseñas y la reutilización de contraseñas, todo lo cual reduce en lugar de mejorar la seguridad de la contraseña. El autor original de las reglas de complejidad de contraseñas, Bill Burr, se disculpó y admite que en realidad disminuyen la seguridad, como ha encontrado una investigación, que fue ampliamente informada en los medios de comunicación en 2017 [36].Los investigadores y consultores de seguridad en línea [37] también apoyan el cambio [38] en los consejos de mejores prácticas sobre contraseñas.


Algunas pautas desaconsejan anotar las contraseñas, mientras que otras, señalando la gran cantidad de sistemas protegidos con contraseña a los que los usuarios deben acceder, recomiendan anotar las contraseñas siempre que las listas de contraseñas escritas se guarden en un lugar seguro, no adjunto a un monitor o en un lugar desbloqueado Cajón del escritorio. [39] El NCSC recomienda el uso de un administrador de contraseñas . [40]

El posible juego de caracteres para una contraseña puede estar limitado por diferentes sitios web o por el rango de teclados en los que se debe ingresar la contraseña. [41]

Ejemplos de contraseñas débiles

Al igual que con cualquier medida de seguridad, las contraseñas varían en efectividad (es decir, fuerza); algunos son más débiles que otros. Por ejemplo, la diferencia de debilidad entre una palabra del diccionario y una palabra con ofuscación (es decir, las letras de la contraseña se sustituyen por, digamos, números, un enfoque común) puede costarle unos segundos más a un dispositivo para descifrar contraseñas; esto agrega poca fuerza. Los ejemplos a continuación ilustran varias formas en que se pueden construir contraseñas débiles, todas las cuales se basan en patrones simples que dan como resultado una entropía extremadamente baja, lo que permite que se prueben automáticamente a altas velocidades: [13]

  • Contraseñas predeterminadas (suministradas por el proveedor del sistema y destinadas a cambiarse en el momento de la instalación): contraseña , predeterminada , administrador , invitado , etc. Las listas de contraseñas predeterminadas están ampliamente disponibles en Internet.
  • Palabras del diccionario: camaleón , RedSox , sacos de arena , ¡bunnyhop! , IntenseCrabtree , etc., incluidas palabras en diccionarios que no están en inglés.
  • Las palabras con números añadidos: contraseña1 , ciervo2000 , john1234 , etc., se pueden probar fácilmente de forma automática con poca pérdida de tiempo.
  • Las palabras con ofuscación simple: p @ ssw0rd , l33th4x0r , g0ldf1sh , etc., se pueden probar automáticamente con poco esfuerzo adicional. Por ejemplo, se informó que una contraseña de administrador de dominio comprometida en el ataque de DigiNotar fue Pr0d @ dm1n. [42]
  • Palabras duplicadas : crabcrab , stopstop , treetree , passpass , etc.
  • Secuencias comunes de una fila de teclado: qwerty , 123456 , asdfgh , fred , etc.
  • Secuencias numéricas basadas en números bien conocidos como 911 ( 9-1-1 , 9/11 ) , 314159 ... ( pi ) , 27182 ... ( e ) , 112 ( 1-1-2 ) , etc.
  • Identificadores: jsmith123 , 1/1/1970 , 555–1234 , el nombre de usuario, etc.
  • Contraseñas débiles en idiomas distintos del inglés, como contraseña (español) y ji32k7au4a83 (codificación de teclado bopomofo del chino) [43]
  • Cualquier cosa relacionada personalmente con un individuo: número de placa, número de seguro social, números de teléfono actuales o pasados, identificación del estudiante, dirección actual, direcciones anteriores, fecha de nacimiento, equipo deportivo, nombres / apodos / cumpleaños / iniciales de familiares o mascotas, etc. se puede probar fácilmente de forma automática después de una simple investigación de los detalles de una persona.
  • Fechas: las fechas siguen un patrón y hacen que su contraseña sea débil.

Hay muchas otras formas en que una contraseña puede ser débil, [44] que corresponden a las fortalezas de varios esquemas de ataque; el principio fundamental es que una contraseña debe tener una alta entropía (generalmente se considera equivalente a la aleatoriedad) y no debe ser fácilmente derivable mediante ningún patrón "inteligente", ni deben mezclarse las contraseñas con información que identifique al usuario. Los servicios en línea a menudo proporcionan una función de restauración de contraseña que un pirata informático puede descubrir y, al hacerlo, puede omitir una contraseña. La elección de preguntas de restauración de contraseña difíciles de adivinar puede proteger aún más la contraseña. [45]

Repensar las pautas de cambio de contraseña

En diciembre de 2012, William Cheswickescribió un artículo publicado en la revista ACM que incluía las posibilidades matemáticas de lo fácil o difícil que sería romper las contraseñas que se construyen utilizando los estándares de hoy en día comúnmente recomendados y, a veces, seguidos. En su artículo, William mostró que una contraseña alfanumérica estándar de ocho caracteres podía resistir un ataque de fuerza bruta de diez millones de intentos por segundo y permanecer ininterrumpida durante 252 días. Diez millones de intentos por segundo es la tasa aceptable de intentos utilizando un sistema de múltiples núcleos al que la mayoría de los usuarios tendrían acceso. También se podría lograr un grado mucho mayor de intentos, a una velocidad de 7 mil millones por segundo, cuando se utilizan GPU modernas. A este ritmo, la misma contraseña alfanumérica completa de 8 caracteres podría romperse en aproximadamente 0,36 días (es decir, 9 horas).Aumentar la complejidad de la contraseña a una contraseña alfanumérica completa de 13 caracteres aumenta el tiempo necesario para descifrarla a más de 900.000 años a 7.000 millones de intentos por segundo. Esto es, por supuesto, asumiendo que la contraseña no usa una palabra común que un ataque de diccionario podría romper mucho antes. El uso de una contraseña de esta fortaleza reduce la obligación de cambiarla con la frecuencia que requieran muchas organizaciones, incluido el gobierno de los EE. UU., Ya que no podría romperse razonablemente en un período de tiempo tan corto.El uso de una contraseña de esta fortaleza reduce la obligación de cambiarla con la frecuencia que requieran muchas organizaciones, incluido el gobierno de los EE. UU., Ya que no podría romperse razonablemente en un período de tiempo tan corto.El uso de una contraseña de esta fortaleza reduce la obligación de cambiarla con la frecuencia que requieran muchas organizaciones, incluido el gobierno de los EE. UU., Ya que no podría romperse razonablemente en un período de tiempo tan corto.[46] [47]

Política de contraseñas

Una política de contraseñas es una guía para elegir contraseñas satisfactorias. Está destinado a:

  • ayudar a los usuarios a elegir contraseñas seguras
  • Asegúrese de que las contraseñas sean adecuadas para la población objetivo.
  • proporcionar recomendaciones para los usuarios con respecto al manejo de sus contraseñas
  • imponer una recomendación para cambiar cualquier contraseña que se haya perdido o se sospeche que está comprometida
  • use una lista negra de contraseñas para bloquear el uso de contraseñas débiles o fáciles de adivinar.

Políticas de contraseñas anteriores utilizadas para prescribir los caracteres que deben contener las contraseñas, como números, símbolos o mayúsculas / minúsculas. Si bien esto todavía está en uso, ha sido desacreditado como menos seguro por la investigación universitaria, [48] por el instigador original [49] de esta política, y por los departamentos de seguridad cibernética (y otros organismos de seguridad gubernamentales relacionados [50] ) de Estados Unidos [51] y Reino Unido. [52] Las principales plataformas como Google [53] y FaceBook utilizaban anteriormente las reglas de complejidad de las contraseñas de los símbolos obligatorios , [54]pero estos han eliminado el requisito después del descubrimiento de que en realidad redujeron la seguridad. Esto se debe a que el elemento humano representa un riesgo mucho mayor que el descifrado, y la complejidad forzada lleva a la mayoría de los usuarios a patrones altamente predecibles (número al final, intercambio de 3 por E, etc.) que en realidad ayudan a descifrar contraseñas. Por lo tanto, la simplicidad y la longitud de las contraseñas (frases de contraseña) son la nueva mejor práctica y se desaconseja la complejidad. Las reglas de complejidad forzada también aumentan los costos de soporte, la fricción de los usuarios y desalientan las suscripciones de usuarios.

La caducidad de la contraseña estaba en algunas políticas de contraseña más antiguas, pero ha sido desacreditada [55] como la mejor práctica y no es compatible con los gobiernos de EE. UU. O Reino Unido, o Microsoft, que eliminó [56] la función de caducidad de contraseña. Anteriormente, la caducidad de la contraseña intentaba tener dos propósitos: [57]

  • Si se estima que el tiempo para descifrar una contraseña es de 100 días, los tiempos de caducidad de la contraseña de menos de 100 días pueden ayudar a garantizar que el atacante no disponga de tiempo suficiente.
  • Si una contraseña se ha visto comprometida, solicitar que se cambie con regularidad puede limitar el tiempo de acceso del atacante.

Sin embargo, la caducidad de la contraseña tiene sus inconvenientes: [58] [59]

  • Pedir a los usuarios que cambien las contraseñas con frecuencia fomenta contraseñas simples y débiles.
  • Si uno tiene una contraseña realmente segura, no tiene mucho sentido cambiarla. Cambiar las contraseñas que ya son seguras presenta el riesgo de que la nueva contraseña sea menos segura.
  • Es probable que un atacante use inmediatamente una contraseña comprometida para instalar una puerta trasera , a menudo a través de la escalada de privilegios . Una vez que se logre esto, los cambios de contraseña no evitarán el acceso de futuros atacantes.
  • Pasar de no cambiar nunca la contraseña a cambiar la contraseña en cada intento de autenticación ( intentos de aprobación o falla) solo duplica la cantidad de intentos que el atacante debe realizar en promedio antes de adivinar la contraseña en un ataque de fuerza bruta. Se obtiene mucha más seguridad simplemente aumentando la longitud de la contraseña en un carácter que cambiando la contraseña en cada uso.

Creación y manejo de contraseñas

Las contraseñas más difíciles de descifrar, para una longitud y un conjunto de caracteres determinados, son las cadenas de caracteres aleatorias; si el tiempo suficiente, resisten los ataques de fuerza bruta (porque hay muchos personajes) y los ataques de adivinación (debido a la alta entropía). Sin embargo, estas contraseñas suelen ser las más difíciles de recordar. La imposición de un requisito para tales contraseñas en una política de contraseñas puede alentar a los usuarios a anotarlas, almacenarlas en dispositivos móviles o compartirlas con otros como una protección contra fallas de memoria. Si bien algunas personas consideran que cada uno de estos recursos de usuarios aumenta los riesgos de seguridad, otros sugieren lo absurdo de esperar que los usuarios recuerden distintas contraseñas complejas para cada una de las docenas de cuentas a las que acceden. Por ejemplo, en 2005, el experto en seguridad Bruce Schneier recomendó escribir la contraseña de uno:

Simplemente, las personas ya no pueden recordar contraseñas lo suficientemente buenas como para defenderse de manera confiable contra ataques de diccionario, y son mucho más seguras si eligen una contraseña demasiado complicada para recordar y luego la escriben. Todos somos buenos para asegurar pequeños trozos de papel. Recomiendo que las personas escriban sus contraseñas en un pequeño trozo de papel y lo guarden con sus otros valiosos trozos de papel: en su billetera. [39]

Las siguientes medidas pueden aumentar la aceptación de requisitos de contraseñas seguras, si se utilizan con cuidado:

  • un programa de entrenamiento. Además, capacitación actualizada para quienes no sigan la política de contraseñas (contraseñas perdidas, contraseñas inadecuadas, etc.).
  • recompensar a los usuarios de contraseñas seguras reduciendo la tasa o eliminando por completo la necesidad de cambios de contraseña (caducidad de la contraseña). La solidez de las contraseñas elegidas por el usuario se puede estimar mediante programas automáticos que inspeccionan y evalúan las contraseñas propuestas al establecer o cambiar una contraseña.
  • mostrar a cada usuario la fecha y hora del último inicio de sesión con la esperanza de que el usuario pueda notar un acceso no autorizado, lo que sugiere una contraseña comprometida.
  • permitiendo a los usuarios restablecer sus contraseñas a través de un sistema automático, lo que reduce el volumen de llamadas a la mesa de ayuda. Sin embargo, algunos sistemas son en sí mismos inseguros; por ejemplo, las respuestas fáciles de adivinar o investigar a las preguntas de restablecimiento de contraseñas evitan las ventajas de un sistema de contraseñas seguro.
  • utilizando contraseñas generadas aleatoriamente que no permitan a los usuarios elegir sus propias contraseñas, o al menos ofreciendo contraseñas generadas aleatoriamente como opción.

Técnicas de memoria

Las políticas de contraseñas a veces sugieren técnicas de memoria para ayudar a recordar contraseñas:

  • Contraseñas mnemónicas: algunos usuarios desarrollan frases mnemotécnicas y las utilizan para generar contraseñas más o menos aleatorias que, sin embargo, son relativamente fáciles de recordar para el usuario. Por ejemplo, la primera letra de cada palabra en una frase memorable. La investigación estima que la fuerza de la contraseña de tales contraseñas es de aproximadamente 3,7 bits por carácter, en comparación con los 6,6 bits de las contraseñas aleatorias de caracteres imprimibles ASCII. [60] Los tontos son posiblemente más memorables. [61] Otra forma de hacer que las contraseñas que aparecen al azar sean más memorables es usar palabras aleatorias (ver diceware ) o sílabas en lugar de letras elegidas al azar.
  • Mnemotécnicos posteriores al hecho: después de que se haya establecido la contraseña, invente un mnemónico que encaje. [62] No tiene que ser razonable o sensato, solo memorable. Esto permite que las contraseñas sean aleatorias.
  • representaciones visuales de contraseñas: una contraseña se memoriza basándose en una secuencia de teclas presionadas, no en los valores de las teclas en sí, por ejemplo, una secuencia! qAsdE # 2 representa un romboide en un teclado estadounidense. El método para producir tales contraseñas se llama PsychoPass; [63] además, estas contraseñas con patrones espaciales pueden mejorarse. [64] [65]
  • Patrones de contraseña: cualquier patrón en una contraseña facilita la adivinación (automatizada o no) y reduce el factor de trabajo del atacante.
    • Por ejemplo, las contraseñas de la siguiente forma que no distingue entre mayúsculas y minúsculas: consonante, vocal, consonante, consonante, vocal, consonante, número, número (por ejemplo pinray45 ) se denominan contraseñas de Environ. [66] El patrón de caracteres alternados de vocales y consonantes tenía la intención de hacer que las contraseñas fueran más fáciles de pronunciar y, por lo tanto, más memorables. Desafortunadamente, estos patrones reducen severamente la entropía de la información de la contraseña , lo que hace que los ataques de contraseña por fuerza bruta sean considerablemente más eficientes. En el Reino Unido, en octubre de 2005, se recomendó a los empleados del gobierno británico que utilizaran contraseñas de esta forma. [ cita requerida ]

Protección de contraseñas

Por lo general, se aconseja a los usuarios de computadoras que "nunca escriban una contraseña en ningún lugar, pase lo que pase" y "nunca utilicen la misma contraseña para más de una cuenta". [67] Sin embargo, un usuario de computadora común puede tener docenas de cuentas protegidas con contraseña. Los usuarios con varias cuentas que necesitan contraseñas a menudo se dan por vencidos y usan la misma contraseña para todas las cuentas. Cuando los requisitos de complejidad de contraseñas variadas impiden el uso del mismo esquema (memorable) para producir contraseñas de alta resistencia, a menudo se crearán contraseñas simplificadas para satisfacer requisitos de contraseñas irritantes y conflictivas. Una MicrosoftSe citó a un experto que dijo en una conferencia de seguridad de 2005: "Afirmo que la política de contraseñas debería decir que debe escribir su contraseña. Tengo 68 contraseñas diferentes. Si no puedo escribir ninguna de ellas, adivine qué voy a hacer hacer? Voy a utilizar la misma contraseña en cada uno de ellos ". [68]

El software está disponible para computadoras de mano populares que pueden almacenar contraseñas para numerosas cuentas en forma encriptada. Las contraseñas se pueden cifrar a mano en papel y recordar el método de cifrado y la clave. [69] Incluso una mejor manera es cifrar una contraseña débil con uno de los algoritmos criptográficos o funciones hash comúnmente disponibles y probados y usar el cifrado como contraseña. [70]

Se puede utilizar una única contraseña "maestra" con el software para generar una nueva contraseña para cada aplicación, basada en la contraseña maestra y el nombre de la aplicación. Este enfoque es utilizado por PwdHash de Stanford, [71] Multiplicador de contraseñas de Princeton, [72] y otros administradores de contraseñas sin estado. En este enfoque, proteger la contraseña maestra es esencial, ya que todas las contraseñas se ven comprometidas si se revela la contraseña maestra y se pierden si la contraseña maestra se olvida o se extravía.

Administradores de contraseñas

Un compromiso razonable para usar una gran cantidad de contraseñas es registrarlas en un programa de administración de contraseñas, que incluye aplicaciones independientes, extensiones de navegador web o un administrador integrado en el sistema operativo. Un administrador de contraseñas permite al usuario utilizar cientos de contraseñas diferentes, y solo tiene que recordar una única contraseña, la que abre la base de datos de contraseñas cifradas. No hace falta decir que esta contraseña única debe ser fuerte y estar bien protegida (no registrada en ninguna parte). La mayoría de los administradores de contraseñas pueden crear automáticamente contraseñas seguras utilizando un generador de contraseñas aleatorias criptográficamente seguro , además de calcular la entropía de la contraseña generada. Un buen administrador de contraseñas proporcionará resistencia contra ataques como el registro de claves, registro del portapapeles y varias otras técnicas de espionaje de memoria.

Ver también

  • Registro de pulsaciones de teclas
  • Frase de contraseña
  • Suplantación de identidad
  • Vulnerabilidad (informática)

Referencias

  1. ^ "Consejo de seguridad cibernética ST04-002" . Elección y protección de contraseñas . US CERT. Archivado desde el original el 7 de julio de 2009 . Consultado el 20 de junio de 2009 .
  2. ^ "Por qué los nombres de usuario y las contraseñas no son suficientes | SecurityWeek.Com" . www.securityweek.com . Consultado el 31 de octubre de 2020 .
  3. ^ "Millones usando 123456 como contraseña, encuentra un estudio de seguridad" . BBC News . 21 de abril de 2019 . Consultado el 24 de abril de 2019 .
  4. ^ Urbina, Ian (2014). "La vida secreta de las contraseñas" . New York Times .
  5. ^ a b c d "SP 800-63 - Directriz de autenticación electrónica" (PDF) . NIST. Archivado desde el original (PDF) el 12 de julio de 2004 . Consultado el 20 de abril de 2014 .
  6. ^ a b "Problemas de Teraflop: el poder de las unidades de procesamiento de gráficos puede amenazar el sistema de seguridad de contraseña del mundo" . Instituto de Investigación de Tecnología de Georgia . Archivado desde el original el 30 de diciembre de 2010 . Consultado el 7 de noviembre de 2010 .
  7. ^ Patente estadounidense 7929707 , Andrey V. Belenko, "Uso de procesadores gráficos como coprocesadores matemáticos paralelos para la recuperación de contraseñas", emitida el 19 de abril de 2011 , asignada a Elcomsoft Co. Ltd. 
  8. ^ Elcomsoft.com Archivado el17 de octubre de 2006en Wayback Machine ,tabla de velocidad de recuperación de contraseña de ElcomSoft ,contraseñas NTLM ,GPU Nvidia Tesla S1070, consultado el 1 de febrero de 2011
  9. ^ Auditor de seguridad inalámbrica de Elcomsoft, GPU HD5970 Archivado el 19 de febrero de 2011 en Wayback Machine, consultado el 11 de febrero de 2011
  10. ^ James Massey (1994). "Adivinación y entropía" (PDF) . Actas del Simposio Internacional IEEE 1994 sobre Teoría de la Información . IEEE. pag. 204.
  11. ^ Schneier, B: Criptografía aplicada , 2e, página 233 y siguientes. John Wiley e hijos.
  12. ^ Florencio, Dinei; Herley, Cormac (8 de mayo de 2007). "Un estudio a gran escala de los hábitos de las contraseñas web" (PDF) . Producto del Comité de la Conferencia Internacional World Wide Web : 657. doi : 10.1145 / 1242572.1242661 . ISBN  9781595936547. S2CID  10648989 . Archivado (PDF) desde el original el 27 de marzo de 2015.
  13. ↑ a b Burnett, Mark (2006). Kleiman, Dave (ed.). Contraseñas perfectas . Rockland, Massachusetts: Syngress Publishing. pag. 181. ISBN 978-1-59749-041-2.
  14. ^ Bruce Schneier (14 de diciembre de 2006). "Las contraseñas de MySpace no son tan tontas" . Revista cableada. Archivado desde el original el 21 de mayo de 2014 . Consultado el 11 de abril de 2008 .
  15. ^ Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 de octubre de 2010). "Prueba de métricas para políticas de creación de contraseñas atacando grandes conjuntos de contraseñas reveladas" (PDF) . Archivado desde el original el 6 de julio de 2012 . Consultado el 21 de marzo de 2012 .
  16. ^ "SP 800-63-3 - Directrices de identidad digital" (PDF) . NIST. Junio ​​de 2017. Archivado desde el original el 6 de agosto de 2017 . Consultado el 6 de agosto de 2017 .
  17. ^ A. Allan. "Las contraseñas están cerca del punto de ruptura" (PDF) . Gartner. Archivado desde el original (PDF) el 27 de abril de 2006 . Consultado el 10 de abril de 2008 .
  18. ^ Bruce Schneier. "Schneier sobre seguridad" . Escriba su contraseña . Archivado desde el original el 13 de abril de 2008 . Consultado el 10 de abril de 2008 .
  19. ^ Requisitos de aleatoriedad para la seguridad . doi : 10.17487 / RFC4086 . RFC 4086 .
  20. ^ "¿Quiere disuadir a los piratas informáticos? Amplíe su contraseña" . NBC News . 2010-08-19 . Consultado el 7 de noviembre de 2010 .
  21. ^ "La máquina EFF DES Cracker aporta honestidad al debate criptográfico" . EFF. Archivado desde el original el 1 de enero de 2010 . Consultado el 27 de marzo de 2008 .
  22. ^ "Estado del proyecto clave de 64 bits" . Distributed.net. Archivado desde el original el 10 de septiembre de 2013 . Consultado el 27 de marzo de 2008 .
  23. ^ "Estado del proyecto clave de 72 bits" . Distributed.net . Consultado el 12 de octubre de 2011 .
  24. ^ Bruce Schneier. "Snakeoil: señal de advertencia n. ° 5: longitudes de clave ridículas" . Archivado desde el original el 18 de abril de 2008 . Consultado el 27 de marzo de 2008 .
  25. ^ "Computación cuántica y ruptura de cifrado" . Desbordamiento de pila. 2011-05-27. Archivado desde el original el 21 de mayo de 2013 . Consultado el 17 de marzo de 2013 .
  26. ^ Microsoft Corporation, Contraseñas seguras: cómo crearlas y usarlas. Archivado 2008-01-01 en Wayback Machine.
  27. ^ Bruce Schneier, Elección de contraseñas seguras Archivado el 23 de febrero de 2008 en la Wayback Machine.
  28. ^ Google, Inc., ¿Qué tan segura es su contraseña? Archivado el 22 de febrero de 2008 en la Wayback Machine.
  29. ^ Universidad de Maryland, elegir una buena contraseña Archivado el 14 de junio de 2014 en la Wayback Machine.
  30. ^ Bidwell, Teri (2002). Hackear su identidad en la era de la información . Syngress Publishing. ISBN 978-1-931836-51-7.
  31. ^ "DIRECTRICES DE CONTRASEÑA NIST EN 2020" . Stealthbits. 18 de agosto de 2020 . Consultado el 17 de mayo de 2021 .
  32. ^ "Política de contraseñas - Actualización de su enfoque" . Centro Nacional de Seguridad Cibernética del Reino Unido . Consultado el 17 de mayo de 2021 .
  33. ^ "Ayuda de inicio de sesión y contraseña" . Facebook . Consultado el 17 de mayo de 2021 .
  34. ^ "Directrices de identidad digital" . Instituto Nacional de Estándares y Tecnología de EE. UU . Consultado el 17 de mayo de 2021 .
  35. ^ "Administración de contraseñas para propietarios de sistemas" . Centro Nacional de Seguridad Cibernética del Reino Unido . Consultado el 17 de mayo de 2021 .
  36. ^ "Reglas de contraseña: el fundador de Password Complexity dice LO SENTIMOS!" . Consultado el 17 de mayo de 2021 .
  37. ^ "Laboratorio de seguridad y privacidad utilizable de CyLab (CUPS)" . Universidad Carnegie Mellon (Estados Unidos) . Consultado el 17 de mayo de 2021 .
  38. ^ Bruce, Schneier. "Cambios en las mejores prácticas de contraseñas" . Schneier sobre seguridad . Consultado el 17 de mayo de 2021 .
  39. ^ a b "Escriba su contraseña - Schneier sobre seguridad" . www.schneier.com . Archivado desde el original el 13 de abril de 2008.
  40. ^ "¿Qué piensa el NCSC de los administradores de contraseñas?" . www.ncsc.gov.uk . Archivado desde el original el 5 de marzo de 2019.
  41. ^ Por ejemplo, para un teclado con solo 17 caracteres no alfanuméricos, vea uno para un teléfono BlackBerry en una imagen ampliada Archivado 2011-04-06 en Wayback Machine en apoyo de Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review , en Hardware Secrets (31 de agosto de 2009) Archivado el 6 de abril de 2011 en Wayback Machine , ambos con acceso el 19 de enero de 2010. Kanhef, Idiots, For Different Reasons (30 de junio de 2009) indica que algunos sitios web no permiten números no alfanuméricos . (publicación temática) Archivado el 6 de abril de 2011 en Wayback Machine , consultado el 20 de enero de 2010.
  42. ^ "ComodoHacker responsable de DigiNotar Attack - Hacking News" . Thehackernews.com. 2011-09-06. Archivado desde el original el 17 de mayo de 2013 . Consultado el 17 de marzo de 2013 .
  43. ^ Dave Basner (8 de marzo de 2019). "He aquí por qué 'ji32k7au4a83' es una contraseña sorprendentemente común" . Consultado el 25 de marzo de 2019 .
  44. ^ Bidwell, pág. 87
  45. ^ "Pautas para elegir una buena contraseña" . Lockdown.co.uk. 2009-07-10. Archivado desde el original el 26 de marzo de 2013 . Consultado el 17 de marzo de 2013 .
  46. William, Cheswick (31 de diciembre de 2012). "Versión HTML: repensar las contraseñas" . Asociación de Maquinaria de Computación (ACM) . Archivado desde el original el 3 de noviembre de 2019 . Consultado el 3 de noviembre de 2019 .
  47. William, Cheswick (31 de diciembre de 2012). "Biblioteca digital ACM - Repensando contraseñas" . Cola . 10 (12): 50–56. doi : 10.1145 / 2405116.2422416 . Archivado desde el original el 3 de noviembre de 2019 . Consultado el 3 de noviembre de 2019 .
  48. ^ "Recomendaciones prácticas para contraseñas más sólidas y utilizables que combinan requisitos de fuerza mínima, longitud mínima y lista de bloqueo" (PDF) . Universidad Carnegie Mellon . Consultado el 17 de mayo de 2021 .
  49. ^ "Bill Burr, fundador de las reglas de complejidad de contraseñas, dice ¡LO SENTIMOS!" . Consultado el 17 de mayo de 2021 .
  50. ^ "Contraseñas en servicios en línea" . Oficina del Comisionado de Información del Reino Unido (ICO) . Consultado el 17 de mayo de 2021 .
  51. ^ "Directrices de identidad digital" . Instituto Nacional de Estándares y Tecnología de EE. UU . Consultado el 17 de mayo de 2021 .
  52. ^ " Guía de contraseña" (PDF) . Cyber ​​Security, Sede de Comunicaciones del Gobierno del Reino Unido . Consultado el 17 de mayo de 2021 .
  53. ^ "Cree una contraseña segura" . Google Inc . Consultado el 17 de mayo de 2021 .
  54. ^ "Ayuda de inicio de sesión y contraseña" . FaceBook Inc . Consultado el 17 de mayo de 2021 .
  55. ^ "Reglas de contraseña: el fundador de Password Complexity dice LO SENTIMOS!" . Consultado el 17 de mayo de 2021 .
  56. ^ "Línea de base de seguridad (FINAL) para Windows 10 v1903 y Windows Server v1903" . Microsoft . Consultado el 17 de mayo de 2021 .
  57. ^ "En defensa de la caducidad de la contraseña" . Liga de Administradores de Sistemas Profesionales. Archivado desde el original el 12 de octubre de 2008 . Consultado el 14 de abril de 2008 .
  58. ^ "Los problemas de forzar la caducidad regular de la contraseña" . Asuntos de IA . CESG: el brazo de seguridad de la información de GCHQ. 15 de abril de 2016. Archivado desde el original el 17 de agosto de 2016 . Consultado el 5 de agosto de 2016 .
  59. ^ Eugene Spafford. "Mitos de seguridad y contraseñas" . El Centro de Educación e Investigación en Aseguramiento y Seguridad de la Información. Archivado desde el original el 11 de abril de 2008 . Consultado el 14 de abril de 2008 .
  60. ^ Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "Un análisis a gran escala del consejo de contraseña mnemotécnica" (PDF) . Actas del 24º Simposio anual de seguridad de redes y sistemas distribuidos (NDSS 17) . Sociedad de Internet. Archivado desde el original (PDF) el 30 de marzo de 2017 . Consultado el 30 de marzo de 2017 .
  61. ^ Mnemonic Devices (Indianapolis, Indiana: Bepko Learning Ctr., University College) , consultado el 19 de enero de 2010 Archivado el 10 de junio de 2010 en Wayback Machine
  62. ^ Recordando contraseñas (ChangingMinds.org) Archivado el 21 de enero de 2010 en Wikiwix, consultado el 19 de enero de 2010
  63. ^ Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "Cómo crear contraseñas seguras y memorizables" . J Med Internet Res . 14 (1): e10. doi : 10.2196 / jmir.1906 . PMC 3846346 . PMID 22233980 .  
  64. ^ Brumen, B; Heričko, M; Rozman, yo; Hölbl, M (2013). "Análisis de seguridad y mejoras al método PsychoPass" . J Med Internet Res . 15 (8): e161. doi : 10.2196 / jmir.2366 . PMC 3742392 . PMID 23942458 .  
  65. ^ "zxcvbn: estimación realista de la fuerza de la contraseña" . Blog de tecnología de Dropbox . Archivado desde el original el 5 de abril de 2015.
  66. ^ Anderson, Ross (2001). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . John Wiley & Sons, Inc. ISBN 978-0470068526.
  67. Morley, Katie (10 de febrero de 2016). "¿Usar la misma contraseña para todo? Está provocando un aumento en el fraude de cuenta corriente" . Telegraph.co.uk . Archivado desde el original el 13 de mayo de 2017 . Consultado el 22 de mayo de 2017 .
  68. ^ Gurú de la seguridad de Microsoft: Anote sus contraseñas Archivado 2016-02-05 en Wayback Machine , c \ net Recuperado el 2016-02-02
  69. ^ Los métodos simples (por ejemplo, ROT13 y algunos otros cifrados antiguos ) pueden ser suficientes; para métodos manuales más sofisticados, consulte Bruce Schneier, The Solitaire Encryption Algorithm (26 de mayo de 1999) (ver. 1.2) Archivado el 13 de noviembre de 2015 en Wayback Machine , consultado el 19 de enero de 2010, y Sam Siewert, Big Iron Lessons , Parte 5: Introducción a la criptografía, From Egypt Through Enigma (IBM, 26 de julio de 2005) Archivado el 3 de agosto de 2010 en Wayback Machine , consultado el 19 de enero de 2010.
  70. ^ "Contraseña más segura para aplicaciones Web, correo electrónico y escritorio / móviles" . bizpages.org . Consultado el 14 de septiembre de 2020 .
  71. ^ Blake Ross; Collin Jackson; Nicholas Miyake; Dan Boneh; John C. Mitchell (2005). "Autenticación de contraseña más sólida mediante extensiones del navegador" (PDF) . Actas del 14º Simposio de Seguridad de Usenix . USENIX. págs. 17–32. Archivado (PDF) desde el original el 29 de abril de 2012.
  72. ^ J. Alex Halderman ; Brent Waters; Edward W. Felten (2005). Un método conveniente para administrar contraseñas de forma segura (PDF) . ACM. págs. 1–9. Archivado (PDF) desde el original el 15 de enero de 2016.

Enlaces externos

  • RFC 4086: Requisitos de aleatoriedad para la seguridad
  • Patrones de contraseña: los ataques de diccionario de próxima generación