LE ayudamos?

442 1-37-43-46 Horas: 9am-8pm L-V;  10am-3pm S

Seguridad en passwords



Seguridad en password.

La seguridad de password se refleja en la simple dificultad para averiguar dicha combinación de letras, números y/o caracteres.

Así que para determinar la calidad del password es auditando la contraseña con los distintos tipos de métodos que existen para averiguar esta combinación de caracteres.

El método brute forcé, este es donde recaen en si todos los métodos por eso es importante de saber de él, este método funciona con una librería o diccionario de palabras el cual estará escribiendo cada contraseña de la librería o diccionario hasta lograr ingresar.
Este mismo puede crear su propia librería construyéndola por combinación de caracteres, iniciando con uno y seguido mezclando todos los caracteres disponibles y así sucesivamente.

Los métodos para descubrir las contraseñas de un usuario son variados. En primer lugar,  se basan en la utilización de la “Ingeniería social”, por ejemplo utilizando el teléfono o un  correo electrónico para engañar al usuario para que éste revele sus contraseñas. Dentro de este grupo destaca el fraude conocido como “phishing”. En este tipo de estafa online  el objetivo consiste en obtener las contraseñas o número de la tarjeta de un usuario,  mediante un e-mail, sms, fax, etc. que suplanta la personalidad de una entidad de  confianza y donde se le insta al usuario que introduzca sus contraseñas de acceso.

También es posible que el usuario se la comunique o ceda a un tercero y, por accidente o  descuido, quede expuesta al delincuente, por ejemplo, al teclearla delante de otras  personas. Puede ser que el atacante conozca los hábitos del usuario y deduzca el  sistema que éste tiene para crear contraseñas (por ejemplo, que elige personajes de su  libro favorito) o que asigne la misma contraseña a varios servicios (correo electrónico,  código PIN de las tarjetas de crédito o teléfono móvil, contraseña de usuario en su  ordenador, etc.).

Existe el método social y psicológico, a este se refiere a conocer un poco a la persona que implemento el password, conocer su manera de escribir, cuantos dedos utiliza para teclear, si tiene conocimientos computacionales, si es una persona de buena memoria, si se inscribe en distintos servicios web y si conocemos algunos datos personales, como nicknames o apodos, fecha de nacimientos, correos electrónicos y algunos detalles de su vida.

Este tipo de método funciona utilizando todo este tipo de información por medio de priorizar variantes hasta obtener una lista de palabras las cuales se integraran al método brute forcé hasta ingresar.
Algunos algoritmos para este método pueden ser priorizar sus nicknames después, su fecha de nacimiento, así con su número de la suerte o favorito. Después tomando en cuenta su forma de  escribe para averiguar cómo es el mezclado de esta información teniendo en cuenta como ejemplo que utiliza un teclado QWERTY pues comenzaría utilizando de izquierda a derecha por tendencia si es zurdo.
Con este diminuto algoritmo se podría crear una lista de palabras para averiguar el password de una persona.

También está el método matemático en generación de listas de palabras, realizando mescla de letras repetidas consecutivamente, utilizar número, repetir números, colocar letras mayúsculas, mesclar símbolos, y longitud del grupo. Por ejemplo utilizando siguiente formula +(n*4)+((len-n)*2)+((len-n)*2)+(n*6)-(n(n-1))-(n*3).

Existen también bases de datos donde se recaudan usuarios y/o correos electrónicos donde se han registrado anteriormente así estas bases de datos se utilizan para usar los passwords anteriormente utilizados para averiguar el password actual.

Un último grupo de técnicas se basan en la previa infección del equipo mediante código  malicioso: con programas “sniffer” o “keylogger”. Un programa “sniffer” o “monitor de red”  espía las comunicaciones del ordenador que tiene residente dicho malware, a través de la red, y de ellas obtiene los datos de las claves. El “keylogger” o “capturador de pulsaciones de teclado” consiste en un programa que se instala en el ordenador del usuario de modo fraudulento, y almacena en un archivo toda aquella información que se teclea en el ordenador. Más adelante dicho archivo puede ser enviado al atacante sin conocimiento ni consentimiento del usuario y, con ello, el intruso puede obtener las distintas contraseñas que el usuario ha utilizado en el acceso a los servicios online o que ha podido incluir en correos electrónicos.

A continuación podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele ser mucho mayor dependiendo del programa utilizado.

Cantidad de Caracteres

26 - Letras Minúsculas

36 - Letras y Dígitos

52 - Mayúsculas y Minúsculas

96 - Todos los Caracteres

6

51 minutos

6 horas

2,3 días

3 meses

7

22,3 horas

9 días

4 meses

24 años

8

24 días

10,5 meses

17 años

2.288 años

9

21 meses

32,6 años

890 años

219.601 años

10

54 años

1.160 años

45.840 años

21.081.705 años

 

Acciones que deben evitarse en la gestión de contraseñas seguras:

1. Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios.

Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a contraseñas distintas para cada una de las cuentas. Un 55% de los usuarios indican que utilizan siempre o casi siempre la misma contraseña para múltiples sistemas, y un 33% utilizan una variación de la misma contraseña.

2. No utilizar información personal en la contraseña: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna ocasión utilizar datos como el DNI o número de teléfono.

3. Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”)

4. No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).

5. Hay que evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.

6. No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.

7. No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos. (ej: no poner como contraseña apodos, el nombre del actor o de un personaje de ficción preferido, etc.).

8. No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo (ej: no guardar las contraseñas de las tarjetas de débito/crédito en el móvil o las contraseñas de los correos en documentos de texto dentro del ordenador),

9. No se deben utilizar palabras que se contengan en diccionarios en ningún idioma.

Hoy en día existen programas de ruptura de claves que basan su ataque en probar una a una las palabras que extraen de diccionarios: Este método de ataque es conocido como “ataque por diccionario”.

10. No enviar nunca la contraseña por correo electrónico o en un sms. Tampoco se debe facilitar ni mencionar en una conversación o comunicación de cualquier tipo.

11. Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número de intentos de acceso, como sucede en una tarjeta de crédito y cajeros, y que el sistema se bloquee si se excede el número de intentos fallidos permitidos. En este caso debe existir un sistema de recarga de la contraseña o “vuelta atrás”.

12. No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.

13. No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público (bibliotecas, cibercafés, telecentros, etc.).

14. Cambiar las contraseñas por defecto proporcionadas por desarrolladores/fabricantes.

En otra perspectiva tomando en cuenta que los usuarios no siempre logran generar una buena contraseña se propondría que si los sistemas de sesión para ser más intuitivos seguros y fáciles de usar, podrían funcionar con la combinación de los siguientes factores:

1.- nombre de usuario
2.- color e imagen de usuario, detalle de imagen y secuencia de imagen.
3.- password
4.- captcha

Con esto sería un sistema intuitivo de fácil memorizar de 7 niveles ya sin importar tanto que tan difícil es el password, en otra entrada hablare de este tema a profundidad.


Centro de Formación
Ahorra tiempo,
Gana dinero, Crece y triunfa

Contactanos

Contactar