¿Las GUID son buenas contraseñas? [cerrado]

StackOverflow https://stackoverflow.com/questions/804456

  •  03-07-2019
  •  | 
  •  

Pregunta

Pros:

  1. No puedo recordar " bueno " las contraseñas de todos modos así que recordarlas no es un problema.
  2. no se parecen a las contraseñas
  3. son casi imposibles de adivinar (128 bits de entropía)
  4. fácil de generar (descarga el " buen problema de PRNG ")

Contras:

  1. ???

En particular; ¿Qué pasa con las contraseñas que ingresan las computadoras como para los inicios de sesión de bases de datos en algunas configuraciones?

¿Fue útil?

Solución

Una desventaja importante es que no necesariamente tiene " 128 bits de entropía " como se indica en la pregunta original.

Muchos Algoritmos GUID tienen información incorporada en patrones predecibles, por ejemplo, la dirección MAC de la computadora, la fecha / hora o una secuencia de incremento. El análisis de criptoanálisis del GUID de WinAPI se ha mostrado dado el estado inicial que se puede predecir hasta los siguientes 250,000 GUID devueltos por la función UuidCreate

Por ejemplo, tengo un 50% de probabilidad de adivinar el primer dígito en la primera posición del tercer grupo de dígitos, ya que será 1 (para las guías V1) o 4 (para las guías V4)

Fuente: http://en.wikipedia.org/wiki/Globally_Unique_Identifier

Otros consejos

Contras:

  1. Los escribirás en alguna parte.
  2. Probablemente los enviará por correo electrónico o los escribirá nuevamente si necesita avisar a alguien más.
  3. Pueden ser demasiado largos para ciertos sistemas.
  4. Son prácticamente imposibles de memorizar, por lo que puede cambiarlos más frecuentemente de lo que desee.

Entonces, a menos que sean contraseñas del sistema que cambian raramente, dudo que sean buenas contraseñas.

Con:

Sería casi imposible recordar una cadena alfanumérica de 32 bytes.

Si realmente desea una contraseña segura, considere una passphrase en su lugar. Una frase de contraseña larga es fácil de recordar y muy difícil de fuerza bruta.

Con:

  • Algunos sistemas tienen límites en la longitud máxima de las contraseñas. Si solo está utilizando dígitos hexadecimales, esto puede limitar su entropía a quizás tan solo 32 bits.

¿Alguna vez alguien debe ingresarlo como contraseña? ¿O quieres usarlo como cosa de una sola vez? Porque en serio, nadie quiere ingresar un GUID en un campo de contraseña. La gente ya tiene suficientes problemas al ingresar las claves de red wifi WEP / WPA2. Y la mayoría de las veces, esos son de una sola vez.

@Miyagi: ese es el discurso más obvio. Tendrán que escribirlo.

Técnicamente serían buenas contraseñas En la vida real, serían contraseñas horribles

Usted terminaría teniendo que escribir las contraseñas, usar un administrador de contraseñas u otra forma para usar la contraseña ... de alguna manera, mover el punto de falla de la contraseña a otro aspecto.

Considera usar frases de contraseña. Oraciones con sustituciones para ciertas letras u otros caracteres, y para números, escribiéndolos con SHIFT, convirtiendo números fáciles de recordar en secuencias de caracteres bien definidas.

Por ejemplo, bcs19850101bcs sería bcs!(*%)!)!bcs

Contras:

  1. Los campos de contraseña no siempre son lo suficientemente largos.
  2. Más difícil de ingresar: probablemente almacenaría la contraseña en un programa, no en su cabeza. Eso es un problema de seguridad ...

... pros:

  1. Nadie podrá forzar tu contraseña fuera de ti.

Las contraseñas de números aleatorios grandes se han hecho antes. Se llaman OTP s, y son mucho más seguros de lo que está sugiriendo porque cambian con el tiempo y tienden a ser generados por dispositivos seguros. Por supuesto, esto solo es relevante si usted está diseñando un sistema de contraseñas.

Si desea una contraseña segura que desea dejar a un administrador de contraseñas en un sistema similar a UNIX, es mucho mejor que simplemente extraiga una de / dev / random y la codifique en algo legible. Para 128 bits de entropía puede usar algo simple como 

head -c 16 /dev/random | openssl enc -a -e

que proporciona una contraseña como 5eqIviKu4pFTqSPnYosVKg==

no irrazonablemente largo, seguro, aleatorio, suicidio para tratar de recordar.

Editar: los beneficios adicionales de este método sobre UUID incluyen seguridad adicional en el PRNG (/ dev / random) y contraseñas más cortas, fallas similares

Recientemente escribí un código para convertir los primeros 64 bits de una suma de comprobación en una secuencia de cuatro palabras en inglés. Esto hace una buena suma de comprobación (mucho más fácil de recordar que un desorden hexadecimal), pero no estoy seguro de que la confíe como una contraseña. Si está protegiendo algo seguro, debe usar una contraseña segura que memorice y no escriba. Si no, entonces cualquier contraseña anterior servirá.

Creo que lo que realmente deseas es un número aleatorio criptográfico , no un GUID. Los GUID y los UUID no son aleatorios, como dijo JohnFx, tienden a incorporar valores detectables como la dirección MAC o la marca de tiempo actual, con el fin de garantizar la exclusividad.

En su lugar, debes mirar cualquier API de criptografía que esté disponible y encontrar una fuente de números aleatorios de alta entropía. Asegúrese de que la documentación prometa que la salida es adecuada para la criptografía, no solo un PRNG regular. Por ejemplo, / dev / random en sistemas Unix es una buena fuente. Luego simplemente desenrolla tantos bytes aleatorios como desees.

Personalmente, esto parece un poco demasiado duro. Prefiero generar cadenas que contengan un poco menos de entropía por carácter, pero son más fáciles de escribir y recordar. Por ejemplo, hay varios algoritmos que combinan sílabas aleatorias para crear palabras sin sentido pronunciables; intercala algunos dígitos y puntuación, y tienes una buena contraseña.

Me gustan mis contraseñas fuerte y pronunciable (prueba uno de los sitios listado aquí para una demostración en línea, asegúrese de elegir un sitio " v2 " para obtener la pronunciación-guía).

Con: No puedes volver a escribirlo, lo que significa que tendrás que copiar y pegar. Si tiene su programa de administración de contraseñas en su sistema, no es realmente un problema. Pero si terminas en un sistema donde no lo haces, volver a escribir la cosa será muy difícil.

Y luego de intentar un par de veces, te bloqueas ...

La vida puede ser muy molesta.

Incluso si lo escribe, una buena contraseña es algo que puede escribir de forma coherente sin errores.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top