Frase de contraseña
Una frase de contraseña es una secuencia de palabras u otro texto usada para controlar acceso a un sistema de computadoras. Una frase de contraseña es similar a una contraseña en cuanto a su uso, pero es, generalmente, más larga para agregar seguridad. Las frases de contraseña son usadas para controlar el acceso y la operación de programas y sistemas criptográficos. Estas frases de contraseña son particularmente aplicables a sistemas que las usan como llave de cifrado. El origen del término es por analogía con «contraseña». Se cree que el concepto moderno de frases de contraseña fue inventado por Sigmund N. Porter[1] en 1982.
Seguridad
Considerando que la entropía del inglés escrito es menor que 1.1 bits por caracter,[2] las frases de contraseña pueden ser relativamente débiles. NIST ha estimado que la frases de contraseña de 23 caracteres "IamtheCapitanofthePina4" contiene 45 bits de fuerza. La ecuación empleada aquí es:[3]
- 4 bits (1.er caracter) + 14 bits (2 al octavo caracter) + 18 bits (9.º al 20.º) + 3 bits (21.º al 23.º) + 6 bits (bonus por mayúsculas, minúsculas, y alfanuméricos) = 45 bits
(No está claro si se toma en cuenta o no en el cálculo que esta es una cita muy conocida H.M.S. Pinafore.)
Usando esta línea guía, para alcanzar una fuerza de 80 bits, valor recomendado para alta seguridad (no militar) por NIST, una frase de contraseña necesitaría ser de 58 caracteres de largo, asumiendo que incluye mayúsculas, minúsculas y valores alfanuméricos.
Hay polémica relacionada con la aplicabilidad de esta ecuación, dependiendo del número de bits de entropía asignados. Por ejemplo, los caracteres en una palabra de 5 letras, cada uno conteniendo 2.3 bits de entropía [cita requerida], significaría que sería necesaria solo una frase de contraseña de 35 caracteres para alcanzar una fuerza de 80 bits.[4]
Si las palabras o componentes de una frase de contraseña pueden ser encontrados en un diccionario de idioma- especialmente uno disponible en formato electrónico- la frase de contraseña se considera más vulnerable a un Ataque de diccionario. Esto es un problema particular si la frase entera se puede encontrar en un libro de citas o un compilado de frases. Sin embargo, el efecto requerido(en tiempo y costo) puede ser muy poco práctico si hay suficientes palabras en la frase de contraseña y que tan aleatoriamente son escogidas y ordenadas en la frase de contraseña. El número de combinaciones que tendrían que ser probadas bajo condiciones suficientes, vuelven un ataque de diccionario tan difícil como poco viable. Estas son condiciones difíciles de igualar, y seleccionar al menos una palabra que no pueda ser encontrada en ningún diccionario significaría un aumento en la fuerza de la frase de contraseña.
Si las frases de contraseña son escogidas por humanos, usualmente están sesgadas por la frecuencia de algunas palabras en particular en un lenguaje natural. En el caso de 4 frases de palabras, la entropía actual raramente excede los 30 bits. Por otro lado, contraseñas seleccionadas por los usuarios tienen a ser mucho más débiles que eso y alentar a los usuarios a usar frases de contraseña de dos palabras puede ayudar a elevar la entropía de 10 bits hasta 20 bits.[5]
Por ejemplo, el amplio y usado estándar criptográfico OpenPGP requiere que el usuario haga una frase de contraseña que debe ser ingresada cuando se vaya a realizar un descifrado o cuando se vaya a firmar un mensaje. Servicios de Internet como Hushmail o Mailfence proveen cifrado de correo electrónico o servicios para compartir información gratis, pero la seguridad presente depende casi por completo de la calidad de la frase de contraseña que se haya escogido.
Comparadas con contraseñas
Las frases de contraseña son diferentes de las contraseñas. Una contraseña es usualmente corta, es decir, de 6 a 10 caracteres. Dichas contraseñas pueden ser adecuadas para varias aplicaciones (si se cambian con frecuencia, si se escogen bajo políticas adecuadas, si no se encuentran en diccionarios, si son lo suficientemente aleatorias y/o si el sistema previene invitados en línea) como:
- Iniciando sesión a un sistema computacional.
- Llaves de negociación en una configuración interactiva. (usando un acuerdo de llave autenticado por contraseña)
- Habilitando una tarjeta inteligente o un PIN para una tarjeta ATM (donde le contraseña (con suerte) no puede ser extraída)
Pero típicamente no se usan contraseñas como llaves para sistemas autónomos. (por ejemplo, un sistema de cifrado) que expone datos para permitir la predicción offline de contraseñas por parte de un atacante [cita requerida]. Las frases de contraseña son, en teoría, más seguras y por lo tanto son una mejor opción en estos casos. Primero, normalmente son (y siempre deberían ser) más largas, típicamente entre 20 y 30 caracteres o más; esto hace que adivinar la frase por medio de un ataque de fuerza bruta sea completamente impráctico. Segundo, si se escoge bien, no será encontrado en ninguna frase o cita en un diccionario, lo que haría ataques de diccionario prácticamente imposibles. En tercer lugar, pueden ser estructuradas para ser más fácilmente recordadas que las contraseñas sin necesidad de tener que escribirlas en algún lugar, reduciendo el riesgo de robo a través de una copia.[cita requerida] Sin embargo, si una frase de contraseña no es protegida adecuadamente por el autenticador y la frase de contraseña en texto plano es revelada, su uso no será mejor que una contraseña convencional. Por esta razón se recomienda que las frases de contraseña no se reutilicen a través de diferentes o únicos sitios y servicios.
En 2012, dos investigadores de la Universidad de Cambridge analizaron frases de contraseña del sistema de Amazon PayPhrase y encontraron que un porcentaje significativo son fáciles de adivinar debido a referencias culturales comunes como nombres de películas y nombres de equipos deportivos, perdiendo mucho del potencial que se puede obtener al utilizar contraseñas largas.[6]
Cuando son usadas en criptografía, comúnmente la contraseña protege una llave (generada por una máquina). La llave es tan larga que un ataque por fuerza bruta (directamente a los datos) es imposible. Una función de derivación de llave es usada, incluyendo muchos miles de iteraciones, para hacer más lentos los ataques de password cracking.
Selección de frases de contraseñas
Un consejo típico acerca de cómo escoger una frase de contraseña incluye sugerencias como:[7]
- Suficientemente largas para ser difíciles de adivinar.
- No usar citas literarias famosas, de libros sagrados, etc
- Difícil de adivinar por intuición; incluso para alguien que conozca bien al usuario.
- Fácil de recordar y de escribir.
- Para mejor seguridad, un cifrado fácil de recordar a nivel de usuario puede ser aplicado.
- No reutilizar las frases entre diferentes sitios, aplicaciones y otras fuentes.
Métodos de ejemplo
Un método para crear una frase de contraseña fuerte es usar dados para seleccionar palabras al azar de una lista larga, una técnica comúnmente llamada diceware. Mientras una colección grande de palabras puede parecer violar la regla de "no sacada de un diccionario", la seguridad está basada enteramente en la forma en que se pueden escoger de la lista de palabras y no porque las palabras sean secretas en sí. Por ejemplo, si hay 7776 palabras en una lista y seis de ellas se escogen al azar, entonces hay 77766 = 221073919720733357899776 combinaciones, ofreciendo alrededor de 78 bits de entropía. (El número 7776 fue escogido para que las palabras pudieran ser seleccionadas a través de lanzar 5 dados. 7776 = 65) La secuencia de palabras realizada al azar puede ser memorizada utilizando técnicas como el método de loci.
Otra es escoger dos frases, convertir una en un acrónimo, e incluirla en la segunda, haciendo la frase de contraseña final. Por ejemplo, usando dos ejercicios de lenguaje tenemos lo siguiente. «El zorro café veloz brincó por encima del perro flojo», se vuelve «ezcvbpedpf». Incluyéndolo en, «Ahora es tiempo de que todos los hombres buenos vengan a ayudar al país», puede producir, «Ahora es tiempo de que todos los hombres buenos ezcybpedpf vengan a ayudar al país» como la frase de contraseña.
Hay varios puntos que se pueden notar aquí, todos relacionados con por qué esta frase de contraseña no es buena.
- Ha aparecido en público, por eso debe ser evitada por cualquiera que use una frase de contraseña.
- Es larga(lo que en teoría se considera un virtud) y requiere tener cuidado al escribirla ya que al ser más larga es más fácil que se comenta un error.
- Individuos y organizaciones que se preocupan por el crackeo de la seguridad computacional tienen una compilación de listas de contraseñas derivadas de esta manera de citas, letras de canciones comunes.
Las FAQ de frases de contraseñas PGP[8] sugieren un procedimiento que busca un mejor balance entre la seguridad en teoría y en la práctica. Todos los procedimientos para escoger una frase de contraseña involucran un intercambio entre seguridad y facilidad de uso; la seguridad debe ser al menos «adecuada» pero no «demasiado» para molestar a los usuarios. Ambos criterios deben ser evaluados para igualar situaciones particulares.
Otro acercamiento suplementario para frustrar ataques por fuerza bruta es derivar la llave de la frase de contraseña a través del uso de funciones que deliberadamente alentar el funcionamiento hash, como PBKDF2 como se describe en RFC 2898.
Soporte en Windows
Si no se necesita compatibilidad con Microsoft LAN Manager, en versiones de Windows NT (incluyendo Windows 2000, Windows XP y posteriores), una frase de contraseña suede ser usada como un sustituto de una contraseña de Windows. Si la frase de contraseña es más larga de 14 caracteres, esto también evita la creación de una muy débil LM hash.
Soporte en Unix
En versiones recientes del sistema operativo Unix-like como Linux, OpenBSD, NetBSD, Solaris y FreeBSD, se pueden utilizar frases de contraseña hasta de 255 caracteres.
Véase también
- Keyfile
- Criptografía basada en contraseña
Referencias
- Porter, Sigmund N. (1982). «A password extension for improved human factors» (pdf). Computers & Security (en inglés) 1 (1): 54-56. doi:10.1016/0167-4048(82)90025-6. Consultado el 9 de julio de 2020. (requiere suscripción).
- Matt Mahoney. «Refining the Estimated Entropy of English by Shannon Game Simulation» (en inglés). Florida Institute of Technology. Consultado el 27 de marzo de 2008.
- «Electronic Authentication Guideline» (PDF) (en inglés). NIST. Archivado desde el original el 8 de febrero de 2017. Consultado el 7 de abril de 2008.
- Jesper M. Johansson. «The Great Debates: Pass Phrases vs. Passwords. Part 2 of 3» (en inglés). Microsoft Corporation. Consultado el 27 de marzo de 2008.
- Joseph Bonneau, Ekaterina Shutova, Linguistic properties of multi-word passphrases, University of Cambridge
- Godwin, Dan. «Passphrases only marginally more secure than passwords because of poor choices». Consultado el 9 de diciembre de 2014.
- Lundin, Leigh (11 de agosto de 2013). «PINs and Passwords, Part 2». Passwords. Orlando: SleuthSayers.
- Randall T. Williams (13 de enero de 1997). «The Passphrase FAQ» (en inglés). Archivado desde el original el 18 de febrero de 2018. Consultado el 11 de diciembre de 2006.
Enlaces externos
- Diceware page
- Passkool - A deterministic "pronounceable" password generator
- Passphrase FAQs
- Readable Passphrase Generator at codeplex.com in C# with API.
- Passphrase - a web-based encrypted password generator and management tool.
- xkcd Password Strength common-viewed explanation of concept