Un caso real de un generador de contraseñas malas y cómo hacerlo bien
Siempre recomendamos utilizar un gestor de contraseñas. Y aprovechar la función de generación de contraseñas. Generar buenas claves es un problema difícil, de todas formas, si nos fijamos en Kaspersky Password Manager: All your passwords are belong to us.
Allí nos cuentan algunos problemas que tenía su generador, que serán familiares para quien lea por aquí de vez en cuando:
- Utilizaban un generador de números aleatorios no criptográfico.
- La fuente de entropía era la hora (en segundos).
The password generator included in Kaspersky Password Manager had several problems. The most critical one is that it used a PRNG not suited for cryptographic purposes. Its single source of entropy was the current time. All the passwords it created could be bruteforced in seconds.
El artículo explica cómo hacer un buen generador. Incluye código de ejemplo y buenos consejos, con la base en un caso real.