Versión en:
Buscar en Mujeres de Empresa
A+ A-
Home > Tecnología

¿Por qué caen nuestras passwords?

| Cristian F. Borghello | 20.Feb.03 |
1 | 2 |

Un viejo "chiste" reza: ¿Cuál es el eslabón más débil de la cadena de seguridad en sistemas informáticos?. El usuario final.

Si usted se sintió afectado, por favor pregúntese si la clave para acceder a su sistema tiene algo que lo relacione con usted mismo. Por ejemplo: si usted se llama Alberto y tiene 42 años de edad, esta casado con Alicia y su hija se llama Rosana, ¿su password es "alber_42" o "AAR" o "alalro"?

En sistemas informáticos, mantener una buena política de seguridad de creación, mantenimiento y recambio de claves es un punto crítico para resguardar la seguridad y privacidad.

Comencemos por ver la forma en que nuestras claves pueden caer en manos de personas non-sanctas, mediante un antiguo método denominado "Fuerza Bruta" donde el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario.

Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, ésta nunca (o rara vez) se cambia. En este caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar la correcta.

Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se este atacando.

A continuación podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele ser mucho mayor dependiendo del programa utilizado.

Cantidad de Caracteres 26-Letras minúsculas 36-Letras y dígitos 52-Mayúsculas
y minúsculas		 96-Todos los caracteres
6 51 minutos 6 horas 2,3 dias 3 meses
7 22,3 horas 9 días 4 meses 24 años
8 24 días 10,5 meses 17 años 2.288 años
9 21 meses 32,6 años 890 años 219.601 años
10 45 años 1.160 años 45.840 años 21.081.705 años


Aquí puede observarse que si se utilizara una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla. Esto se obtiene a partir de las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.

Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.

Según demuestra un análisis realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo:

  • Con un diccionario 2.030 palabras, se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
  • Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).

Otro estudio muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas:

  • En un año se obtuvieron 3.340 contraseñas (24,22%).
  • En la primera semana se descubrieron 3.000 claves (21,74%).
  • En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).

Según lo observado en la tabla, sería válido afirmar que: es imposible encontrar ¡36 cuentas en 19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y una semana.

Esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a secuencias alfabéticas tipo "abcd"; a secuencias numéricas tipo "1234"; a secuencias observadas en el teclado tipo "qwer"; a palabras que existen en un diccionario del lenguaje del usuario; a que el usuario se llama Alberto y su clave es "Alber".

Este simple estudio confirma nuestra mala elección de contraseñas, y el riesgo se incrementa si el atacante conoce algo sobre la víctima, ya que podrá probar palabras relacionadas a su persona o utilizar diccionarios orientados.

Subir
1 | 2 |
Canales
Actualidad Comercio Exterior Dinero y Finanzas E-business Management Marketing Negocios Networking Perfiles RRHH y Comunicación Tecnología
Línea natural
Arte y Cultura Fitness y Salud Lifestyle Sociedad Viajeras
Recursos
Agenda de Eventos Caja de Herramientas Capacitación E-books Empleo Enlaces de Interés
Servicios
Newsletter vía E-mail Suscríbase vía RSS Noticias en su sitio Contactos Publicite en MdE

Ultimas notas

Mi oficina móvil Los sitios de noticias al estilo web 2.0 Spyware, software para remover programas espías Que hacer cuando el Windows no arranca Borré un archivo por error. Y ahora? La barra de herramientas de Mujeres de Empresa Consejos prácticos sobre la barra de Google Qué es el trackback? Como comprimir archivos con WinZip VoIP:Terminología básica explicada para principiantes Como abrir archivos en forma automática Mmm, absolutamente Delicious: como empezar Social bookmarking: un tesoro de recursos online Como leer feeds: lectoras y agregadores de RSS? Beneficios de los RSS? Qué es exactamente RSS? Qué es un blog y en qué se diferencia de un site

| + notas de Tecnología |

Suscríbase a M. de Empresa
suscribir newsletterNewsletter
feed RSSFeeds RSS
Copyright 2000- Mujeres de Empresa
Sobre Mujeres de Empresa | Contactos |
Pasantías | Prensa | Publicidad |
Términos de uso | Políticas de Privacidad |