¿Cuánto debe ser mi contraseña del sistema?

He probado contraseñas hasta 480 caracteres (en OS X versión 10.8.5) y utilizar todos ellos; alrededor 480 el passwd comando tenía un poco problemas para establecer las contraseñas, pero era un poco incompatible, así que no estoy seguro si eso es un límite real. No pruebo con la interfaz de preferencias de sistema, porque no permite pegar las contraseñas, y no hay manera yo estoy escribiendo algo que larga (dos veces!). Básicamente, usaremos tanto como usted puede estar parado escribir.

El (salado y estiramiento) del hash de la contraseña de inicio de sesión se almacena en /var/db/dslocal/nodes/Default/users/username.plist en 10.7 y más tarde. Si usted está preocupado de que alguien pueda leer el hash (por ejemplo, inicio en modo de usuario único) y, a continuación, utilizar una herramienta de cracking como DaveGrohl de averiguar la contraseña, OS X ha utilizado PBKDF2 desde 10.8, lo que limita el agrietamiento de herramientas a una decena de conjeturas por segundo por cada núcleo.

Tardó unos diez minutos para adivinar al azar de tres caracteres de la contraseña en mi iMac:

$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack

-- Found password : 'y8d'
-- (incremental attack)

Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.

A menos que realice un ataque distribuido, es en la actualidad poco práctico para resolver incluso un aleatorio de ocho caracteres de la contraseña que consta de caracteres ASCII de las letras y los números ASCII. En 40 conjeturas por segundo, tardaría alrededor de 36^8/40/(86400*365) ≈ 2000 años para probar todas las opciones.

En realidad el almacenamiento de hashes es una TERRIBLE manera de "forma segura" almacén de contraseñas. Por la naturaleza de hashes son imposibles para "invertir", pero eso no impide que uno, desde la generación de una tabla grande (llamado rainbow table) que almacena en texto plano-hash pares. Con esta tabla es posible la búsqueda de un hash y ver que es asociada texto de contraseña(s).

La forma aceptada de almacenamiento de contraseñas es el hash y la sal método. Una sal es un azar, de cadena larga que se combina con la contraseña antes de que un hash se calcula. Esto hace que la entrada de el hash, demasiado grande para ser viable pre-calculado en un arco iris de la tabla. Al final, las únicas cosas que se almacenan en una adecuada base de datos de contraseñas son hashes y sales (las sales pueden ser almacenados en texto sin formato, ya que no son del todo útiles para revertir los hash).

Básicamente, usted no necesita tener una contraseña larga para proteger de la rainbow table ataques, ya que sales a hacer eso para usted.

Computerphile hizo un gran Vídeo de YouTube sobre el almacenamiento de contraseñas.

Tan lejos como la fabricación de contraseña segura va, uno de los mejores métodos es el uso de 4-6 medio de longitud, no relacionados, en palabras REALES (sin la necesidad de símbolos/números). Esto asegura un tiempo suficientemente largo contraseña, que no es fácil de adivinar, y es lo más importante memorable (así nunca vas a tener la tentación de escribir en una nota adhesiva).

TL;DR: