Contratando ahora: ¿Eres un ingeniero TI motivado y con ganas de trabajar?

Blog

Ciberseguridad: Contraseñas Terribles

Ciber-seguridad

Ciberseguridad: Contraseñas Terribles

Ciberseguridad: Contraseñas Terribles

Por qué elegimos contraseñas terribles y cómo solucionarlas

El primer jueves de mayo es el Día mundial de las contraseñas, pero no compre un pastel ni envíe tarjetas. El fabricante de chips informáticos Intel creó el evento como un recordatorio anual de que, para la mayoría de nosotros, nuestros hábitos de contraseña no son nada para celebrar. En cambio, ellos, y los profesionales de la informática como yo, esperamos que este día usemos nuestro último adiós a “qwerty” y “123456”, que siguen siendo las contraseñas más populares.

El problema con contraseñas cortas y predecibles

El propósito de una contraseña es limitar el acceso a la información. Tener uno muy común o simple como “abcdef” o “letmein”, o incluso palabras normales como “contraseña” o “dragón”, apenas tiene seguridad, como cerrar una puerta pero no bloquearla.

Las herramientas de descifrado de contraseñas de los hackers aprovechan esta falta de creatividad. Cuando los piratas informáticos encuentren o compren credenciales robadas, es probable que encuentren que las contraseñas no se han almacenado como el texto de las contraseñas sino como huellas dactilares únicas, llamadas “hash”, de las contraseñas reales. Una función hash transforma matemáticamente cada contraseña en una versión codificada de tamaño fijo de sí misma. Hashing la misma contraseña original dará el mismo resultado cada vez, pero es computacionalmente casi imposible revertir el proceso, para derivar una contraseña de texto plano de un hash específico.

Ciberseguridad: Contraseñas Terribles

 

 

En cambio, el software de descifrado calcula los valores hash para un gran número de contraseñas posibles y compara los resultados con las contraseñas hash en el archivo robado. Si hay alguna coincidencia, entra el hacker. El primer lugar en el que se inician estos programas es con valores hash conocidos para contraseñas populares.

Los usuarios más inteligentes que eligen una contraseña menos común pueden ser presa de lo que se llama un “ataque de diccionario”. El software de cracking intenta cada una de las 171,000 palabras en el diccionario de inglés. Luego, el programa prueba palabras combinadas (como “qwertypassword”), secuencias duplicadas (“qwertyqwerty”) y palabras seguidas por números (“qwerty123”).

Pasar a la persuasión ciega

Solo si el ataque de diccionario falla, el atacante se moverá a regañadientes a lo que se llama un “ataque de fuerza bruta”, adivinando secuencias arbitrarias de números, letras y caracteres una y otra vez hasta que coincida.

También puede interesarle: La transformación digital se trata del cómo, no del qué

Las matemáticas nos dicen que una contraseña más larga es menos fácil de adivinar que una contraseña más corta. Eso es cierto incluso si la contraseña más corta está hecha de un conjunto más grande de caracteres posibles.

Por ejemplo, una contraseña de seis caracteres compuesta de los 95 símbolos diferentes en un teclado estadounidense estándar rinde 956, o 735 mil millones, combinaciones posibles. Eso suena como mucho, pero una contraseña de 10 caracteres hecha con solo caracteres minúsculos en inglés rinde 2610, 141 billones, opciones. Por supuesto, una contraseña de 10 caracteres de los 95 símbolos ofrece 9510 o 59 trillones de posibilidades.

Es por eso que algunos sitios web requieren contraseñas de cierta longitud y con ciertos números de dígitos y caracteres especiales; están diseñados para frustrar los ataques más comunes de diccionario y fuerza bruta. Sin embargo, dado el tiempo suficiente y la potencia de cálculo, cualquier contraseña es crackeable.

Y, en cualquier caso, los humanos son terribles para memorizar secuencias largas e impredecibles. A veces utilizamos mnemotécnicos para ayudar, como la forma en que “Todo buen chico hace bien” nos recuerda las notas indicadas por las líneas de las partituras. También pueden ayudarnos a recordar una contraseña como “freQ! 9tY! JuNC”, que al principio parece muy confusa.

 

Ciberseguridad: Contraseñas Terribles

 

 

Al dividir la contraseña en tres partes, “freQ!”, “9tY!” Y “juNC”, revela lo que podría recordarse como tres palabras breves y pronunciables: “monstruo”, “noventa” y “basura”. Las personas son mejores memorizando contraseñas que pueden fragmentarse, ya sea porque encuentran significado en los fragmentos o porque pueden agregar más fácilmente su propio significado a través de mnemónicos.

No reutilizar contraseñas

Supongamos que tomamos en serio todos estos consejos y nos decidimos a hacer que todas nuestras contraseñas tengan al menos 15 caracteres de longitud y estén llenas de números aleatorios y letras. Inventamos dispositivos mnemotécnicos inteligentes, asignamos algunos de nuestros favoritos a la memoria y comenzamos a usar esas mismas contraseñas una y otra vez en cada sitio web y aplicación.

Al principio, esto puede parecer lo suficientemente inofensivo. Pero los hackers que roban contraseñas están en todas partes. Recientemente, grandes empresas como Yahoo, Adobe y LinkedIn han sido violadas. Cada uno de estos incumplimientos reveló los nombres de usuario y las contraseñas de cientos de millones de cuentas. Los hackers saben que las personas suelen reutilizar las contraseñas, por lo que una contraseña descifrada en un sitio puede volver vulnerable a la misma persona en un sitio diferente.

Más allá de la contraseña

No solo necesitamos contraseñas largas e impredecibles, sino que necesitamos contraseñas diferentes para cada sitio y programa que usemos. El usuario promedio de Internet tiene 19 contraseñas diferentes. Es fácil ver por qué las personas las escriben en notas adhesivas o simplemente hacen clic en el enlace “Olvidé mi contraseña”.

¡El software puede ayudar! El trabajo del software de administración de contraseñas es cuidar de generar y recordar contraseñas únicas y difíciles de descifrar para cada sitio web y aplicación.

Que es un ransomware: cómo protegerse

A veces, estos programas tienen vulnerabilidades que pueden ser explotadas por los atacantes. Y algunos sitios web bloquean el funcionamiento de los administradores de contraseñas. Y, por supuesto, un atacante podría echar un vistazo al teclado mientras escribimos nuestras contraseñas.

Ciberseguridad: Contraseñas Terribles

 

 

La autenticación de múltiples factores fue inventada para resolver estos problemas. Esto implica un código enviado a un teléfono móvil, un escaneo de huellas dactilares o un token de hardware USB especial. Sin embargo, a pesar de que los usuarios saben que la autenticación de múltiples factores es probablemente más segura, les preocupa que sea más inconveniente o difícil. Para hacerlo más fácil, sitios como Authy.com proporcionan guías sencillas para permitir la autenticación de múltiples factores en sitios web populares.

Entonces no más excusas. Vamos a ponernos sombreros de fiesta y comenzar a cambiar esas contraseñas. World Password Day sería un gran momento para deshacerse de “Qwerty” para siempre, probar un administrador de contraseñas y activar la autenticación de múltiples factores. Una vez que hayas terminado, adelante y toma ese pastel, porque te lo mereces.

 

Fuente: http://www.ibtimes.com/why-we-choose-terrible-passwords-how-fix-them-2618742

 

Archivos

Contáctanos