Juego de dados

Diceware es un método para crear frases de contraseña , contraseñas y otras variables criptográficas utilizando dados comunes como generador de números aleatorios de hardware . Para cada palabra de la frase de contraseña, se requieren cinco tiradas de un dado de seis caras. Los números del 1 al 6 que salen en las tiradas se agrupan como un número de cinco dígitos, p. ej. 43146. Ese número se utiliza luego para buscar una palabra en una lista de palabras criptográficas. En la lista original de Diceware, 43146 corresponde a munch . Al generar varias palabras en secuencia, se puede construir aleatoriamente una frase de contraseña larga.

Una lista de palabras de Diceware es cualquier lista de $65 = 7776$ palabras únicas, preferiblemente aquellas que el usuario encuentre fáciles de deletrear y recordar. El contenido de la lista de palabras no tiene que estar protegido ni oculto de ninguna manera, ya que la seguridad de una frase de contraseña de Diceware está en el número de palabras seleccionadas y el número de palabras de las que se puede tomar cada palabra seleccionada. Se han compilado listas para varios idiomas, incluidos euskera , búlgaro , catalán , checo , chino , danés , holandés , inglés , esperanto , estonio , finlandés , francés , alemán , griego , hebreo , húngaro , italiano , japonés , latín , maorí , noruego , polaco , portugués , rumano , ruso , eslovaco , esloveno , español , sueco y turco .

El nivel de imprevisibilidad de una frase de contraseña de Diceware se puede calcular fácilmente: cada palabra agrega 12,9 bits de entropía a la frase de contraseña (es decir, bits). Originalmente, en 1995, el creador de Diceware, Arnold Reinhold, consideró cinco palabras ( $\log _{2}(6^{5})$ 64,6 bits ) la longitud mínima que necesitan los usuarios promedio. Sin embargo, en 2014 Reinhold comenzó a recomendar que se necesitaran al menos seis palabras (77,5 bits ) se pueden utilizar. ^[1]

Este nivel de imprevisibilidad presupone que los posibles atacantes saben tres cosas: que se ha utilizado Diceware para generar la frase de contraseña, la lista de palabras concreta utilizada y exactamente cuántas palabras componen la frase de contraseña. Si el atacante tiene menos información, la entropía puede ser mayor que12,9 bits/palabra . ^[2]

Los cálculos anteriores de la entropía del algoritmo Diceware suponen que, como recomienda el autor de Diceware, cada palabra está separada por un espacio. Si, en cambio, las palabras se concatenan simplemente, la entropía calculada se reduce ligeramente debido a la redundancia; por ejemplo, las frases de tres palabras de Diceware "in put clammy" e "input clam my" se vuelven idénticas si se eliminan los espacios.

Listas de palabras de la EFF

En 2016, la Electronic Frontier Foundation publicó tres listas de palabras alternativas para dados en inglés, enfatizando aún más la facilidad de memorización con un sesgo contra las palabras oscuras, abstractas o problemáticas; una desventaja es que las frases de contraseña típicas del estilo EFF requieren escribir una mayor cantidad de caracteres. ^[3]^[4]

Retazo

La lista de palabras original de Diceware consta de una línea para cada una de las7.776 combinaciones posibles de cinco dados. Un extracto: ^[5]

...43136 multado43141 mula43142 mull43143 múltiple43144 mamá43145 momia43146 masticar43151 mungo...

Ejemplos

Ejemplos de frases de contraseña de listas de palabras de Diceware: ^[3]

dobbs bella bump flash comienza ansi
Caballete veneno aver arrojado jon llamada

Ejemplos de frases de contraseña de listas de palabras EFF: ^[3]

Sterling unido charla segura giro pelvis
arroz inmoralmente preocupante compras traverse recargador

La tira XKCD #936 muestra una contraseña similar a una generada por Diceware, incluso si la lista de palabras utilizada es más corta que la normal.Lista de 7776 palabras utilizadas para Diceware. ^[6]

Véase también

Ataque de fuerza bruta
El tamaño de la clave analiza cuántos bits de clave se consideran "seguros".
La lista de palabras biométricas PGP utiliza dos listas de 256 palabras, cada palabra representa 8 bits.
S/KEY utiliza una lista de 2048 palabras para codificar números de 64 bits como seis palabras en inglés.
Fuerza de la contraseña
Generador de contraseñas aleatorias
Gato hash
¿Qué son las 3 palabras?

Notas

^ Brodkin, Jon (27 de marzo de 2014). «Las contraseñas de Diceware ahora necesitan seis palabras aleatorias para frustrar a los piratas informáticos». Ars Technica . Archivado desde el original el 30 de septiembre de 2017. Consultado el 14 de junio de 2017 .
^ Antonov, Petar; Georgieva, Nikoleta (2020). "Análisis de seguridad de frases de contraseña de Diceware". Información y seguridad . 47 (2): 276–282. doi : 10.11610/isij.4719 . ISSN 0861-5160. S2CID 222234719.
^ abc «Cambie su contraseña: esta nueva lista de palabras hace que el método Diceware sea más fácil de usar». Observer . 22 de septiembre de 2016. Archivado desde el original el 6 de octubre de 2022 . Consultado el 4 de diciembre de 2016 .
^ "Nuevas listas de palabras de la EFF para frases de contraseña aleatorias". Electronic Frontier Foundation . 19 de julio de 2016. Archivado desde el original el 28 de junio de 2023 . Consultado el 4 de diciembre de 2016 .
^ "Lista de palabras de Diceware". world.std.com . Archivado desde el original el 5 de diciembre de 2016. Consultado el 4 de diciembre de 2016 .
^ "Explicación del webcomic y las diferencias con el software de dados normal". explainxkcd.com . Archivado desde el original el 2014-01-25 . Consultado el 2021-12-19 .

Referencias

Secretos de Internet, 2.ª edición, John R. Levine , editor, capítulo 37, IDG Books , 2000, ISBN 0-7645-3239-1

Enlaces externos

La página de dados en inglés tiene la descripción completa y listas de palabras en varios idiomas.
Un generador de contraseñas de listas de palabras múltiples de Diceware del lado del cliente con código fuente completo
Aplicación de dados basada en la web que utiliza la función getRandomValues() criptográficamente segura
Lista de palabras de Diceware en inglés de la Electronic Frontier Foundation
diceware en GitHub