Seguridad - ¿Qué tan largo debería ser un password para considerarse seguro?

Publicado por gammexane, Ago 24, 2022, 01:00 AM

Tema anterior - Siguiente tema

gammexane

Ocho placas de video Nvidia GTX 1080 Ti trabajando en paralelo pueden generar y probar por fuerza bruta 307.2E9 hashes MD5 por segundo.
Esto es aproximadamente 38 bits de entropía cada segundo, 54 bits por día o 63 bits por año.

Entonces, asumiendo que el proveedor de servicio usa MD5 básico para guardar los hash de los passwords podríamos decir que un password de:
- 55 bits podría tardar 2 días en ser crackeada.
- 60 bits cerca de 6 semanas
- 65 bits unos 4 años
- 70 bits más o menos 128 años

Con esto último en mente, deberíamos considerar tener passwords de al menos 64 bits de entropía, idealmente 70.

¿Qué significa un password de 70 bits de entropía?
- 11 caracteres ASCII aleatorios: 1|P3f*zDj}w
- 12 caracteres alfanuméricos: IHqdBY38CXNv
- 6 palabras aleatorias: casa-leon-sonrisa-reloj-aca-sangre

Eso es lo mínimo. Ahora, ¿qué sería "innecesario" con la tecnología actual? Y la respuesta es, posiblemente algo mayor a 128 bits, lo que sería:
-21+ caracteres ASCII aleatorios.
-22+ caracteres alfanuméricos
-11+ Palabras de diccionario aleatorias.

Aunque si usan gestores de contraseña, cosa que deberían hacer, por ejemplo Bitwarden, generar passwords de 14 o 20 caracteres no debería ser un problema. Así que ¿Por qué no?

 Aclaración: Claramente esto sería si, por ejemplo, un atacante se hace con la base de datos de algún sitio en el que estemos registrados. El largo del password no protege contra phishing. Así que conjuntamente con un gestor de contraseñas y password seguro deben usar doble factor de autenticación (2FA) siempre que sea posible.

Fuente: https://gist.github.com/epixoip/ace60d09981be09544fdd35005051505
Bitwarden: https://bitwarden.com/
_________________________
gammexane

I don't have anything to hide, but I don't have anything to show you either.

KoalaSoft

¡Cuando el alumnos esta listo, el maestro aparece!