La INSEGURIDAD de las CONTRASEÑAS SEGURAS

La inseguridad de las contraseñas seguras

La inseguridad de las contraseñas seguras… resulta casi paradójico, ¿no creen ustedes…?

Podéis descargar el PAPER entero con información mucho más detallada desde: Paper: La inseguridad de las contraseñas seguras.

La verdad es que los que nos dedicamos a la seguridad, en especial en el ámbito de la web, nos hemos cebado con alevosía y premeditación con aquello de repetir una y otra vez eso de hacer que las personas que se registran en nuestros sistemas utilicen cada vez contraseñas más y más robustas como para evitar que se puedan adivinar las contraseñas de los usuarios de nuestras plataformas….

La Inseguridad de las contraseñas seguras

La Inseguridad de las contraseñas seguras

También tenéis este post, EN VÍDEO!!

Incorrectas metodologías de Hardering en paneles de registro

Hoy vengo a arrojar un rayo de luz iluminador sobre todos aquellos que se han cebado a lo largo del tiempo con frases a los programadores web como:

  • La contraseña mínima de los usuarios ha de tener mínimo 8 caracteres.
  • La contraseña ha de contener al menos un número.
  • La contraseña ha de contener al menos una minúscula.
  • La contraseña ha de contener al menos una mayúscula.
  • Que la contraseña no sea igual al nickname o nombre de usuario.
  • Y ya por último si el usuario se quiere sentir más seguro que si quiere que también pueda incluir algún carácter especial.

Claro, y por que no incluyes también:

  • Que la contraseña no pueda contener el nickname.
  • Que la contraseña no pueda contener su fecha de nacimiento.
  • Que la contraseña no pueda contener la fecha del nacimiento de sus hijos.
  • Que la contraseña no pueda contener la fecha del año actual.
  • Que la contraseña no pueda contener ni su nombre ni apellido.
  • Que la contraseña no pueda ser repetida.
  • Que la contraseña se haya de cambiar cada 15 días.
  • Que la contraseña tenga que tener una longitud mínima de 32 caracteres.
  • Que la contraseña deba de llevar obligatoria mente un prefijo aleatorio de al menos 4 caracteres.
  • Etc… etc… etc…

Con todos esos pasos tal vez la contraseña sería incluso casi indescifrable, los usuarios de nuestras webs tendrían unas contraseñas que serían los Chuck Norris de las contraseñas.

Claro, el “único problema” estaría en que ahora ya no tendríamos usuarios, tal vez Stephen Hawking sea un buen candidato para recordar la contraseña a su cuenta en “TetitasCachondas.com”, no se si esta web existirá, espero no estar haciendo les publicidad, si no existe, ya están tardando en crearla, ese dominio vale su precio en oro, y si existe ya de paso os invito a decirles que una donación tampoco estaría mal.

También hay que tener en cuenta de que si se eligen contraseñas muy complejas y robustas, en la mayoría de los casos estas serán almacenadas en archivos de textos que muchas veces terminan en pleno escritorio, o en pequeños trozos de folios con la contraseña escrita en mitad de la oficina.

No por ser mas robustas son mas seguras

No, y como veremos aquí, no solo no son más seguras, sino que las hace incluso más inseguras.

Vosotros os acordáis del típico tonto del pueblo, si, ese que todos de pequeños conocíamos porque nuestra madre siempre decía, “pobrecito.. si es que el pobre lo intenta pero es que no da para más”, si, ese que tú decías, “pero cuanto mal que está haciendo el incesto…”, pues bien, el equivalente a ese tonto del pueblo, fue aquel que propuso estas medidas de seguridad para los registros de contraseñas, que nosotros decíamos, “pobrecito… si es que sus padres son hermanos, ¿Que le vamos a hacer?”…

Mi contraseña es segura - La Inseguridad de las contraseñas seguras

Mi contraseña es segura – La Inseguridad de las contraseñas seguras

¿Que hay de malo en obligar a usar contraseñas robustas?

Obligar a usar una contraseña robusta trae los inconvenientes de que, en primer lugar, es el equivalente a intentar matar moscas a cañonazos, que si disparas muchas veces con lo mismo a alguna te cargas, pero antes destrozarás todo el alrededor, los ataques de fuerza bruta a base de generar diccionarios aleatorios o con millones de palabras es algo cada vez más inusual en el mundo Hacker ya que hemos aprendido que antes de realizar un ataque de fuerza bruta o por diccionario con varios millones de palabras y perder así varios días para tal vez no averiguar la contraseña es mucho mejor hacer una cosa llamada fingerprinting y footprinting que básicamente son dos técnicas que consisten en recopilar información acerca del usuario para realizar, entre otras cosas, ataques dirigidos hacia determinados usuarios.

Tras estas recopilaciones de información, el auditor se termina haciendo de mucha información acerca de un usuario, empresa o miembros de esa empresa, y cualquier auditor con experiencia podría averiguar una contraseña de la gran mayoría de usuarios en apenas unos pocos minutos probando las contraseñas a mano.

Cedida por: http://www.planetacurioso.com/

Cedida por: http://www.planetacurioso.com/ – La Inseguridad de las contraseñas seguras

Esta imagen me la he encontrado por ahí y solo me gustaría añadir que es totalmente falsa.

En la mayoría de los casos, como ya decía anteriormente se suele tardar entorno a unos 5-10 minutos, y esto se debe a que la mayoría de las contraseñas suelen guardar relación con el usuario, por ejemplo, la más habitual suele ser el nombre y apellido más el año de nacimiento, por ejemplo: PepitoLozano1985.

Este es el tipo de contraseña que se suelen elegir la mayoría de las personas a la hora de escoger una contraseña con los requisitos que se piden.

Asco de contraseñas

No digo que no sea buena idea obligar a fortificar las contraseñas de los usuarios, pero como ya comentaba anteriormente es matar moscas a cañonazos, si alguien usa una contraseña del tipo:

  • password
  • contraseña
  • pass1234
  • password1234
  • ” ” (esto trata de representar una contraseña vacía, por cierto, esto si que está PROHIBIDÍSIMO)

Sinceramente, esa persona, MERECE ser hackeada.

Además, cualquiera de las contraseñas o medidas de autenticación que podamos usar solamente hay una que realmente nos pertenece, y esa es nuestro número de teléfono, esto lo veremos ahora y pasaremos a comentar cuales son las formas CORRECTAS de plantear un sistema de autenticación.

Actual sistema de registro acunetix - La inseguridad de las contraseñas seguras

Actual sistema de registro acunetix – La inseguridad de las contraseñas seguras

Más fácil de averiguar

Para un Hacker con experiencia, supongamos que tengamos una lista de contraseñas para un usuario llamado “Pablo José”, nacido en 1990, tengamos esta lista de posibilidades para ese usuario.

  • PabloJose
  • PabloJose1990
  • Pablo.Jose1990
  • Pablo.Jose.1990
  • Pablo_Jose1990
  • 1990PabloJose
  • 1990.Pablo.Jose
  • 1990.PabloJose
  • 1990_PabloJose
  • pablojose
  • pablojose1990
  • pablo.jose1990
  • pablo.jose.1990
  • pablo_jose1990
  • 1990pablojose
  • 1990.pablo.jose
  • 1990.pablojose
  • 1990_pablojose

Llegados a este punto tal vez empecéis a saber porque el título de “La inseguridad de las contraseñas seguras“.

Tenemos un total de 16 contraseñas de las cuales algunas de ellas más posibles que otras, pero para abarcarlo todo quedemos nos con estas 18 contraseñas.

Sabiendo las condiciones expuestas al registro de contraseñas, ya que para saber esto lo único que tendríamos que hacer es ver las condiciones que nos pone el sistema de registro de cada plataforma web, digamos que nos requiere utilizar al menos una mayúscula, con esto nos quedaríamos con la mitad de las contraseñas, con tan solo 9 contraseñas:

  • PabloJose
  • PabloJose1990
  • Pablo.Jose1990
  • Pablo.Jose.1990
  • Pablo_Jose1990
  • 1990PabloJose
  • 1990.Pablo.Jose
  • 1990.PabloJose
  • 1990_PabloJose

Supongamos también que hay que poner también un número, se quedaría con 8 contraseñas:

  • PabloJose1990
  • Pablo.Jose1990
  • Pablo.Jose.1990
  • Pablo_Jose1990
  • 1990PabloJose
  • 1990.Pablo.Jose
  • 1990.PabloJose
  • 1990_PabloJose

Sigamos, digamos que también nos requiere poner al menos un carácter especial, se quedarían en 6 contraseñas:

  • Pablo.Jose1990
  • Pablo.Jose.1990
  • Pablo_Jose1990
  • 1990.Pablo.Jose
  • 1990.PabloJose
  • 1990_PabloJose

Como podéis comprobar, han pasado de haber 19 posibilidades a tan solo 6 contraseñas posibles.

Hacer “seguro”, lo inseguro

La manera de hacer seguro, entre comillas al menos, no pasa por hacer una contraseña más robusta, sino por establecer sistemas de autenticación en dos pasos ya que lo más habitual ni si quiera es intentar adivinar la contraseña, sino directamente robarlas, ya sea a través de malware como keyloggers, etcétera…

Este hecho ya de por si hace absurdo el hecho de usar una contraseña con minúsculas, mayúsculas, números y caracteres de 32 dígitos completamente aleatorios.

Para mantener la seguridad de nuestras cuentas, hay que implementar y activar un segundo factor de autenticación, esto nos permitirá que un atacante tenga que tener acceso al segundo factor de autenticación para poder acceder, uno de los elementos que se pueden utilizar para un sistema de un segundo factor autenticación puede ser un factor biométrico como una huella dactilar como puede ser el de los paneles de control de acceso biométrico autónomo ZKTECO x7 de Solutec, pese a que lo más habitual es usar por ejemplo un código temporal llamado token que te ha de llegar al móvil, porque, tal y como ya comentamos, la única identidad que es realmente tuya, es tu número de teléfono.

En empresas como las de telefónica y Eleven Paths tienen sistemas como los de Latch que permiten implementar un segundo factor de autenticación.

Latch - La inseguridad de las contraseñas seguras

Latch – La inseguridad de las contraseñas seguras

Y si ven Latch funciona de una manera distinta, lo más habitual suele ser recibir un mensaje en tu móvil, completamente gratuito por supuesto, el cual contiene un código de por lo general 4-6 caracteres y números el cuál has de introducir para acceder a tu cuenta, por lo que para un atacante la única forma de acceder a tu cuenta sería conociendo tu contraseña y teniendo acceso físico a tu dispositivo móvil. Esto NO ES IMPOSIBLE, y ningún segundo factor de autenticación lo será al 100% posiblemente nunca, pero si añade una segunda capa de protección a tu cuenta.

No es mi propósito enumerar todas las formas que hay de sustitución de una contraseña, pero esto me lo ahorraré para otro post, por mi parte espero que les haya sido util y recuerden que siempre tienen la posibilidad de donar en la parte derecha de esta misma web, un saludo! 😉

La completa seguridad en internet y a la privacidad total, en si mismos, no existen, pero eso no nos impide hacer las cosas bien y hacer mas fiable nuestro código.

2 comentarios

  1. yo uso canciones. la contraseña de mi wifi es:

    lpdcycrdbvamactlcdm

    formada con la inicial de cada palabra de las dos primeras líneas de “la patita”

    la patita de canasta y con rebozo de bolita
    va al mercado a comprar todas las cosas del mandado

    no requiero anotar mis contraseñas, solo tengo que recodar qué canción utilicé
    no me importa que alguien me vea tecleándola, a menos que la escriba “al vuelo”. no conozco quien pueda memorizar 19 caracteres “aleatorios” (al menos en apariencia para el observador) con medio segundo entre cada uno

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *