28 marzo 2012

Cuidado con las contraseñas cortas y fáciles de recordar

Password cracker

Muchos de los errores que cometen los usuarios tiene que ver con el manejo de sus contraseñas, se crean contraseñas demasiado cortas y muy fáciles de descifrar. Además la gente utiliza un mismo password para todas sus cuentas en la red, eso permite que con solo averiguar una contraseña un delincuente pueda penetrar en todas las cuentas que el usuario tiene en diferentes servicios, como Facebook, twitter,etc. Se recomienda no publicar en las redes sociales los números de teléfonos celulares,

Otro problema está en que aunque la contraseña no sea tan débil. a veces es posible evadirla, aprovechando la función de pregunta secreta que suelen tener los servicios de internet para que las personas restablezcan su contraseña en caso de que la olviden. Por eso, estos ataques siempre empiezan por la pregunta secreta, es una respuesta con un dato concreto, como el nombre de una persona o una ciudad. 

Es fácil ver cuan vulnerable es este recurso. Si uno entra a las opciones de configuración de Hotmail, las opciones de pregunta secreta son seis: 1- Lugar de nacimiento de la madre.  2- Mejor amigo de la infancia.  3- Nombre de la primera mascota.  4- Profesor favorito. 5- Personaje histórico favorito. 6- Ocupación del abuelo. 
Son pocas y con una cantidad de respuestas reducida. Este sistema es poco efectivo cuando el intruso es el ex-esposo o la ex-esposa. Gmail tiene alternativas parecidas, pero con una ventaja en seguridad: le permite crear sus propias preguntas. Los usuarios tampoco acatan la recomendación de no entrar desde lugares públicos cómo los café internet a cuentas de correo donde guarden datos importantes o comprometedores  y mucho menos realizar transacciones financieras desde allí, ya que algún usuario mal intencionado puede instalar programas Keyloggers, para capturar las contraseñas tecleadas que luego son enviadas automáticamente por el programa, al correo electrónico del que lo instaló.

Las contraseñas utilizadas en documentos encriptados de Office, deben ser mínimo de 10 caracteres, combinando mayúscula con minúsculas y números, ya que si se utilizan menos, los programas conocidos como "Password Crackers" que prueban millones de contraseñas cada segundo, pueden dar con la clave fácilmente, algunos de ellos son "Cain and Abel", "Hydra", "John the Ripper", "Passware". El blog Vijay's Tech Encounters, publicó un post que cuenta como se están utilizando Pasword crackers, que se apoyan no en el poder del procesador del PC, sino en las excepcionales capacidades que tienen para esta tarea los procesadores de las tarjetas gráficas (las GPU o Unidades de Procesamiento Gráfico). Por este medio el tiempo que toma averiguar una contraseña se reduce increíblemente.

La tasa que manejan estos programas sin apoyarse en la GPU es de 9,8 millones de contraseñas por segundo. En cambio cuando se apoyan en la tarjeta gráfica aumenta a una tasa de 3.334 millones de contraseñas por segundo o más alta de acuerdo a la potencia de la tarjeta gráfica.

Por ejemplo en una contraseña de 8 caracteres (t6Hnf9L) un password cracker convencional tarda casi un año. Mientras que con esta misma contraseña el software para GPU tarda 18 horas.

En una contraseña de 9 caracteres (kfU64FdB8) el password cracker convencional tardaría 43 años en descifrarla. Al utilizar el software para GPU tarda 48 días.

Solo cuando la clave llega a 10 caracteres (jF9nw3D1vQ) el tiempo del software para GPU se vuelve excesivo: 8 años y 70 días.

En cambio si sólo se utilizan números aunque estos sean diez: (8457317452), al software para GPU le tomó sólo dos segundos averiguarla.

No hay comentarios.:

Publicar un comentario