Inspiración Diaria
Excelencia en diseño, cada día.
Trabajo seleccionado por jurado del A' Design Award, presentado fresco cada mañana.
Cada palabra elegida por cinco dados de la lista de palabras EFF. Observa cómo ruedan.
En 1995, Arnold Reinhold publicó una idea simple y poderosa: lanzar cinco dados físicos, buscar el número de cinco dígitos resultante en una lista de palabras y repetir hasta obtener una frase de contraseña. El método se llama Diceware, y su genialidad radica en hacer visible la aleatoriedad. Puedes observar los dados, verificar las tiradas y confiar en el resultado porque tú controlaste cada paso. En 2016, la Electronic Frontier Foundation publicó una lista de palabras refinada de 7.776 palabras en inglés cuidadosamente seleccionadas: comunes, distintas, fáciles de escribir y resistentes a confusiones.
Cinco dados de seis caras producen 7.776 resultados igualmente probables (6 elevado a la quinta potencia). Cada selección de palabra de la lista EFF aporta por tanto log2(7776) = 12,9 bits de entropía. Seis palabras proporcionan 77,5 bits. Siete palabras alcanzan 90,4 bits. Ocho palabras ofrecen 103,4 bits. Estas cifras describen el espacio de búsqueda que un atacante debe agotar mediante intentos automatizados. A un billón de intentos por segundo, una frase de contraseña de seis palabras requiere en promedio 2,4 millones de años para ser descifrada.
Las matemáticas son precisas porque el número de palabras gobierna la entropía completamente. Añadir una palabra multiplica las combinaciones posibles por 7.776. Una frase de contraseña Diceware de siete palabras es 7.776 veces más difícil de descifrar que una de seis palabras. Este crecimiento exponencial es lo que hace que las frases de contraseña sean tan poderosas con tan pocos componentes.
Una frase de contraseña como radar clamp trophy pencil bazaar flint contiene 77,5 bits de entropía. Una contraseña verdaderamente aleatoria de fuerza equivalente usando todas las clases de caracteres (mayúsculas, minúsculas, dígitos, símbolos) necesitaría aproximadamente 12 caracteres. La diferencia crítica: la mayoría de los humanos pueden memorizar seis palabras comunes después de leerlas dos veces. Memorizar 12 caracteres aleatorios como k$9Tm!vX2p#q normalmente requiere anotarlos, lo que introduce un riesgo de seguridad física. La frase de contraseña vive cómodamente en la memoria mientras proporciona una fuerza matemática equivalente o superior.
Cada palabra en esta página se selecciona generando cinco valores aleatorios independientes del 1 al 6, simulando cinco dados físicos. La cuadrícula de dados sobre la frase de contraseña muestra los valores exactos que produjeron cada palabra. Esta transparencia es fundamental para la filosofía Diceware: la fuente de aleatoriedad es visible, auditable y comprensible. Tu navegador crea estos valores usando crypto.getRandomValues(), la API Web Cryptography especificada por el W3C. La misma fuente de entropía por hardware protege tus sesiones de banca en línea.
El número correcto de palabras depende de lo que proteja la frase de contraseña. Para cuentas web generales, seis palabras proporcionan una seguridad excelente (77,5 bits). Para cuentas de alto valor como el correo electrónico principal, gestores de contraseñas o claves de cifrado, siete u ocho palabras añaden un margen de seguridad sustancial. Para aplicaciones particularmente sensibles, diez palabras proporcionan 129 bits de entropía, superando el nivel de seguridad de una clave de cifrado de 128 bits.
Diceware es un excelente ejercicio de probabilidad porque conecta directamente los cálculos abstractos de entropía con un resultado tangible. Haz que los estudiantes visiten /diceware/4 y observen la cuadrícula de dados. Cada estudiante ve cuatro palabras producidas por veinte tiradas de dados. Pregunta a la clase: ¿cuántas frases de contraseña de cuatro palabras son posibles? La respuesta, 7.776 elevado a la cuarta potencia (aproximadamente 3,66 billones), suele sorprender a los estudiantes que piensan en las contraseñas como cadenas cortas de caracteres.
Para un ejercicio más profundo, lleva dados físicos a clase. Haz que cada estudiante lance cinco dados, busque la palabra en la lista EFF publicada y repita cuatro veces. Compara las frases de contraseña físicas con las digitales. La discusión sobre si los dados físicos y los generadores digitales producen aleatoriedad equivalente abre la puerta a conceptos de fuentes de entropía, generación de números aleatorios por hardware y la definición matemática de equidad. La herramienta no requiere cuentas y no procesa datos de los estudiantes. Cada frase de contraseña permanece en el navegador del estudiante.
El generador Diceware de dice83 se ejecuta completamente dentro de tu navegador. El servidor entrega esta página, incluyendo la lista de palabras EFF. Tu dispositivo genera las tiradas de dados aleatorias y selecciona las palabras localmente. La frase de contraseña nunca sale de la memoria de tu navegador. No existe en ningún otro lugar: ni en registros del servidor, ni en bases de datos, ni en canales de analítica.
Cuando compartes esta herramienta con un amigo, compartes la URL de configuración, que especifica únicamente el número de palabras. La frase de contraseña en sí está ausente del enlace compartido. El dispositivo de tu amigo genera una frase de contraseña completamente independiente desde su propio generador de números aleatorios. La URL lleva la configuración de la herramienta. Tu dispositivo lleva el secreto.
Más palabras, más entropía. Selecciona un valor predefinido o escribe el tuyo.
Comparte esta herramienta con amigos y colegas. El enlace solo contiene el número de palabras.
Inspiración Diaria
Trabajo seleccionado por jurado del A' Design Award, presentado fresco cada mañana.
