POR QUE SON VULNERABLES LAS CONTRASEÑAS
Diofanor Rodríguez CPP
Cuando accedemos a un computador, generalmente se nos pide una contraseña de ingreso, que es la protección inicial más común del equipo y de los documentos que contiene.
Ese mecanismo de protección, lamentablemente, no está realmente bien entendido. Muchos de nosotros (los usuarios) desconocemos que la seguridad de la computadora, de los programas y de los documentos, inicia con esta pequeña secuencia de datos y por ello muchas veces los descuidamos o los dejamos tan sencillos, que todo queda al descubierto en un abrir o cerrar de ojos.
Iniciemos por conocer la forma en que nuestras claves pueden caer en manos de personas no gratas, mediante un antiguo método denominado "Fuerza Bruta", donde el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario.
Muchas claves de acceso se pueden obtener con gran facilidad, toda vez que casi siempre se encuentran involucrados datos que nos ligan a dichas claves, como por ejemplo el nombre, fecha de nacimiento, fechas de cumpleaños, nombres de los hijos y aniversarios, entre otras, por mencionar algunas de las más comunes. A esto se suma el hecho de que rara vez se tiene por costumbre el cambio de la contraseña, lo que facilita en gran medida la obtención de la clave a través del método de prueba y error.
Otra forma de ataque es el denominado “sistemático”, que a través de programas especiales y “diccionarios”, de manera rápida y corta prueban millones de claves hasta encontrar la correcta.
Los “diccionarios” son archivos con millones de palabras que pueden ser contraseñas de usuario. En la actualidad existen diccionarios de gran tamaño orientados, incluso, a un área especifica dependiendo del tipo de organización que este siendo victima de un ataque.
En el siguiente cuadro se muestra el tiempo de búsqueda encontrar una clave a partir de su longitud y el tipo de caracteres utilizados. Expertos afirman que la velocidad de la búsqueda se encuentra en 100.000 claves por segundo.
Se observa, por ejemplo, que si se utiliza una clave de 8 caracteres de longitud, tomados de los 96 caracteres posibles, el tiempo que alguien tardaría en descifrarla es de 2.288 años. Esto se debe a que en este escenario, el número de claves posibles es de 7.214 billones (millones de millones).
Por supuesto, nadie dispone de todos esos años para analizar y encontrar las claves a través del método de fuerza bruta. Los delincuentes entonces se dirigen a las llamadas claves débiles, en donde el descuido de los usuarios hace fácil encontrar las claves.
Un experimento realizado sobre 2.134 cuentas, con una velocidad de prueba de 227.000 palabras por segundo, demostró que con un diccionario 2.030 palabras, se obtuvieron las claves de 36 cuentas en solo 19 segundos (1,77%) y con un diccionario de 250.000 palabras, se obtuvieron las claves de 64 cuentas en 36 minutos (3,15%).
Otro estudio muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas: En un año se obtuvieron 3.340 contraseñas (24,22%), en la primera semana se descubrieron 3.000 claves (21,74%) y en los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).
Como se observa en el segundo análisis, el porcentaje de hallazgos casi no cambia entre un año y una semana. Esto pasa por que las primeras claves que se pueden descubrir son las más sencillas, que muy seguramente corresponden a secuencias del tipo “abcd”, secuencias numéricas como “1234”, secuencias observadas en el teclado del tipo “qwer", palabras que se encuentran en el diccionario del usuario y, lo más seguro, al nombre del usuario, en donde por ejemplo la persona se llama Cristina y su clave es “cristi” o se llama Fernando y su clave es “fercho”.
Estos estudios demuestran que nosotros no sabemos escoger bien nuestras contraseñas, muchas veces por pereza, otras por desconocimiento, y ello incrementa de forma sustancial el riesgo si el atacante conoce algo sobre la victima, ya que podría utilizar diccionarios orientados a lo que conoce de la persona.
Algunas normas dadas por expertos que se deben tener en cuenta al elegir una clave:
No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares u otro relacionado).
No usar contraseñas completamente numéricas con algún significado (teléfono, fecha de nacimiento ó placa del automóvil).
No utilizar terminología técnica conocida.
Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
Deben ser largas, de 8 caracteres o más.
Tener contraseñas diferentes en máquinas diferentes y sistemas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una clave de un sistema cae no caigan todos los demás sistemas por utilizar la misma clave.
Deben ser fáciles de recordar, para no verse obligado a escribirlas. Algunos ejemplos son:
Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
Usar un acrónimo de alguna frase fácil de recordar: A rio Revuelto Ganancia de Pescadores: ArRGdP
Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña: aHoelIo
Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar: 35M\/Pq< href="http://consult.cern.ch/writeups/security/security_3.html" target="_blank">CERN Security Handbook on Passwords. CERN. Noviembre de 1998.
- FAQ de alt.2600 versión .014
- Tabla de Tiempos del John the Ripper 1.4 by +NetBul. SET N°15-0x07. Junio de 1998.
Ritos de la criptografía moderna
Diofanor Rodríguez CPP
Cuando accedemos a un computador, generalmente se nos pide una contraseña de ingreso, que es la protección inicial más común del equipo y de los documentos que contiene.
Ese mecanismo de protección, lamentablemente, no está realmente bien entendido. Muchos de nosotros (los usuarios) desconocemos que la seguridad de la computadora, de los programas y de los documentos, inicia con esta pequeña secuencia de datos y por ello muchas veces los descuidamos o los dejamos tan sencillos, que todo queda al descubierto en un abrir o cerrar de ojos.
Iniciemos por conocer la forma en que nuestras claves pueden caer en manos de personas no gratas, mediante un antiguo método denominado "Fuerza Bruta", donde el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario.
Muchas claves de acceso se pueden obtener con gran facilidad, toda vez que casi siempre se encuentran involucrados datos que nos ligan a dichas claves, como por ejemplo el nombre, fecha de nacimiento, fechas de cumpleaños, nombres de los hijos y aniversarios, entre otras, por mencionar algunas de las más comunes. A esto se suma el hecho de que rara vez se tiene por costumbre el cambio de la contraseña, lo que facilita en gran medida la obtención de la clave a través del método de prueba y error.
Otra forma de ataque es el denominado “sistemático”, que a través de programas especiales y “diccionarios”, de manera rápida y corta prueban millones de claves hasta encontrar la correcta.
Los “diccionarios” son archivos con millones de palabras que pueden ser contraseñas de usuario. En la actualidad existen diccionarios de gran tamaño orientados, incluso, a un área especifica dependiendo del tipo de organización que este siendo victima de un ataque.
En el siguiente cuadro se muestra el tiempo de búsqueda encontrar una clave a partir de su longitud y el tipo de caracteres utilizados. Expertos afirman que la velocidad de la búsqueda se encuentra en 100.000 claves por segundo.
Se observa, por ejemplo, que si se utiliza una clave de 8 caracteres de longitud, tomados de los 96 caracteres posibles, el tiempo que alguien tardaría en descifrarla es de 2.288 años. Esto se debe a que en este escenario, el número de claves posibles es de 7.214 billones (millones de millones).
Por supuesto, nadie dispone de todos esos años para analizar y encontrar las claves a través del método de fuerza bruta. Los delincuentes entonces se dirigen a las llamadas claves débiles, en donde el descuido de los usuarios hace fácil encontrar las claves.
Un experimento realizado sobre 2.134 cuentas, con una velocidad de prueba de 227.000 palabras por segundo, demostró que con un diccionario 2.030 palabras, se obtuvieron las claves de 36 cuentas en solo 19 segundos (1,77%) y con un diccionario de 250.000 palabras, se obtuvieron las claves de 64 cuentas en 36 minutos (3,15%).
Otro estudio muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas: En un año se obtuvieron 3.340 contraseñas (24,22%), en la primera semana se descubrieron 3.000 claves (21,74%) y en los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).
Como se observa en el segundo análisis, el porcentaje de hallazgos casi no cambia entre un año y una semana. Esto pasa por que las primeras claves que se pueden descubrir son las más sencillas, que muy seguramente corresponden a secuencias del tipo “abcd”, secuencias numéricas como “1234”, secuencias observadas en el teclado del tipo “qwer", palabras que se encuentran en el diccionario del usuario y, lo más seguro, al nombre del usuario, en donde por ejemplo la persona se llama Cristina y su clave es “cristi” o se llama Fernando y su clave es “fercho”.
Estos estudios demuestran que nosotros no sabemos escoger bien nuestras contraseñas, muchas veces por pereza, otras por desconocimiento, y ello incrementa de forma sustancial el riesgo si el atacante conoce algo sobre la victima, ya que podría utilizar diccionarios orientados a lo que conoce de la persona.
Algunas normas dadas por expertos que se deben tener en cuenta al elegir una clave:
No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares u otro relacionado).
No usar contraseñas completamente numéricas con algún significado (teléfono, fecha de nacimiento ó placa del automóvil).
No utilizar terminología técnica conocida.
Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
Deben ser largas, de 8 caracteres o más.
Tener contraseñas diferentes en máquinas diferentes y sistemas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una clave de un sistema cae no caigan todos los demás sistemas por utilizar la misma clave.
Deben ser fáciles de recordar, para no verse obligado a escribirlas. Algunos ejemplos son:
Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
Usar un acrónimo de alguna frase fácil de recordar: A rio Revuelto Ganancia de Pescadores: ArRGdP
Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña: aHoelIo
Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar: 35M\/Pq< href="http://consult.cern.ch/writeups/security/security_3.html" target="_blank">CERN Security Handbook on Passwords. CERN. Noviembre de 1998.
- FAQ de alt.2600 versión .014
- Tabla de Tiempos del John the Ripper 1.4 by +NetBul. SET N°15-0x07. Junio de 1998.
Ritos de la criptografía moderna
0 comments:
Post a Comment