Video: Tutorial: ¿cómo hacer una contraseña fuerte en tan solo un minuto? (Noviembre 2024)
Apenas pasa una semana sin noticias de una violación de datos que expone millones o miles de millones de contraseñas. En la mayoría de los casos, lo que está realmente expuesto es una versión de la contraseña que se ejecuta a través de un algoritmo de hash, no la contraseña en sí. El último informe de Trustwave muestra que el hash no ayuda cuando los usuarios crean contraseñas estúpidas, y que la longitud es más importante que la complejidad en las contraseñas.
Los piratas informáticos descifrarán @ u8vRj y R3 * 4h antes de descifrar StatelyPlumpBuckMulligan o ItWasTheBestOfTimes.
Hashing Out
La idea detrás del hashing es que el sitio web seguro nunca almacena la contraseña de un usuario. Por el contrario, almacena el resultado de ejecutar la contraseña a través de un algoritmo de hash. El hash es un tipo de encriptación unidireccional. La misma entrada siempre genera el mismo resultado, pero no hay forma de pasar del resultado a la contraseña original. Cuando inicia sesión, el software del lado del servidor procesa lo que ingresó. Si coincide con el hash guardado, estás dentro.
El problema con este enfoque es que los malos también tienen acceso a algoritmos de hash. Pueden ejecutar cada combinación de caracteres para una longitud de contraseña determinada a través del algoritmo y comparar los resultados con una lista de contraseñas hash robadas. Para cada hash que coincida, han decodificado una contraseña.
En el transcurso de miles de pruebas de penetración de red en 2013 y principios de 2014, los investigadores de Trustwave recopilaron más de 600, 000 contraseñas hash. Al ejecutar código de descifrado hash en GPU potentes, descifraron más de la mitad de las contraseñas en minutos. La prueba continuó durante un mes, momento en el que habían agrietado más del 90 por ciento de las muestras.
Contraseñas: lo estás haciendo mal
La sabiduría común sostiene que una contraseña que contenga letras mayúsculas, minúsculas, dígitos y signos de puntuación es difícil de descifrar. Resulta que eso no es del todo cierto. Sí, sería difícil para un malhechor adivinar una contraseña como N ^ a & $ 1nG, pero según Trustwave un atacante podría descifrarla en menos de cuatro días. Por el contrario, descifrar una contraseña larga como GoodLuckGuessingThisPassword requeriría casi 18 años de procesamiento.
Muchos departamentos de TI requieren contraseñas de al menos ocho caracteres, que contengan letras mayúsculas, minúsculas y dígitos. El informe señala que, lamentablemente, "Contraseña1" cumple con estos requisitos. No es coincidencia, Password1 fue la contraseña única más común en la colección en estudio.
Los investigadores de TrustWave también descubrieron que los usuarios harán exactamente lo que deben hacer, nada más. Desglosando su colección de contraseñas por longitud, encontraron que casi la mitad eran exactamente ocho caracteres.
Hazlos largos
Lo hemos dicho antes, pero vale la pena repetirlo. Cuanto más larga sea su contraseña (o frase de contraseña), más difícil será para los hackers descifrarla. Escriba una cita u oración favorita, omitiendo espacios, y obtendrá una frase de contraseña decente.
Sí, hay otros tipos de ataques de craqueo. En lugar de hash cada combinación de caracteres, un ataque de diccionario combina combinaciones de palabras conocidas, reduciendo significativamente el alcance de la búsqueda. Pero con una contraseña lo suficientemente larga, el descifrado por fuerza bruta aún tomaría siglos.
El informe completo corta y divide los datos en una variedad de formas. Por ejemplo, más de 100, 000 de las contraseñas descifradas consistían en seis letras minúsculas y dos dígitos, como monkey12. Si administra las políticas de contraseña, o si simplemente está interesado en crear mejores contraseñas para usted, definitivamente vale la pena leerlo.
