Se basan en bases de datos de contraseñas filtradas. Lo que crea un sesgo enorme: las contraseñas simples están sobrerrepresentadas en comparación con las complejas en estas bases de datos, porque en la mayoría de los casos lo que se roba es una base de datos de contraseñas hash y salted, y por tanto es necesario realizar un diccionario o fuerza bruta. ataque para encontrar las contraseñas correspondientes… un ataque que, por tanto, sólo encontrará las contraseñas simples y comunes presentes en el diccionario utilizado (o muy cortas en el caso de la fuerza bruta).
Enumerar las contraseñas más comunes en realidad casi no tiene sentido, aparte de permitir que NordPass se haga un nombre mediante la publicación del estudio.
Lo que sería mucho más interesante es estudiar la proporción de hashes rotos con respecto al total de hashes filtrados y ver si esta proporción tiende a disminuir con el tiempo.
No, no si el sitio implementa correctamente buenas prácticas de seguridad: ya no hacemos hachís sin sal, e incluso evitamos hacerlo con sal estática.
Belgium
