Una contraseña munged (pronunciada / ˈ m ʌ n dʒ / ) se refiere a la práctica de crear una contraseña con estrategias de reemplazo comunes. [1] Por ejemplo, reemplazar 'S' con '$' o '5' en una contraseña. Alternativamente, puede verse como una aplicación del lenguaje Leet . Puede conducir a la creación de contraseñas seguras que son fáciles de recordar, [2] aunque aún son susceptibles de ser adivinadas por fuerza bruta. [1]
"Munge" a veces se contrapone con el acrónimo Modify Until Not Guessed Easily (Modificar hasta que no se adivine fácilmente). [1] El uso difiere significativamente de "mung" (Mash Until No Good), porque munging implica destrucción de datos, mientras que mungeing implica creación de una fuerte protección para los datos.
Las contraseñas se utilizan para acceder a los recursos informáticos y los usuarios de ordenadores suelen elegir contraseñas fáciles de recordar, pero por tanto inseguras. Las contraseñas sencillas se pueden piratear fácilmente con software que ataca a través de diccionarios , por lo que tener una contraseña modificada puede resultar útil como protección contra los piratas informáticos.
Si un administrador de red proporciona una contraseña que es demasiado difícil de recordar o exige que las contraseñas se cambien con frecuencia, los usuarios tienden a escribirlas para recordarlas mejor. Las contraseñas suelen encontrarse en notas adhesivas debajo de los teclados, detrás de imágenes u ocultas entre otros elementos del escritorio, lo que supone otro riesgo para la seguridad. [3]
Mungeing ayuda a crear una contraseña segura que el usuario puede recordar fácilmente. El usuario puede elegir cualquier palabra que desee y luego modificarla para hacerla más segura. [4]
A menudo se piensa que una contraseña segura requiere caracteres de al menos tres de los siguientes cuatro conjuntos de caracteres (además de incluir caracteres de diferentes conjuntos, la longitud de la contraseña también es una métrica utilizada para determinar su fortaleza): [5]
Añadir un número o un carácter especial a una contraseña puede frustrar algunos ataques de diccionario sencillos . Sin embargo, se deben evitar las palabras comunes para simplificar la prueba de fuerza bruta automatizada de variaciones conocidas de las palabras. Por ejemplo, la contraseña "Mariposa" se puede modificar de las siguientes maneras:
Las sustituciones pueden ser cualquier cosa que el usuario considere fácil de recordar y que pueda aumentar las dificultades de un atacante, como por ejemplo:
Para aplicaciones de alta seguridad, el mungeing puede no ser muy efectivo, porque solo agrega 2-3 bits de entropía , aumentando así el tiempo necesario para realizar un ataque de diccionario de fuerza bruta por un factor de 4-8. El aumento en el espacio de búsqueda obtenido al mungear unos pocos caracteres de una palabra conocida es fácilmente igualado por el aumento continuo en la potencia de procesamiento (que es más o menos equivalente a la "velocidad de descifrado") que las computadoras han estado experimentando durante algunas décadas como resultado de la Ley de Moore , aunque esto se puede contrarrestar para algunas aplicaciones limitando los intentos de contraseña a uno cada pocos segundos o 5 por un período de tiempo más largo, generalmente de cinco minutos a una hora. [ cita requerida ]
Como regla general, se debe evitar el uso de palabras individuales bien conocidas, incluso después de sustituciones comunes. En su lugar, se deben utilizar combinaciones de múltiples palabras aleatorias, que se puedan recordar fácilmente al formar una historia mental a partir de ellas.