Estrategias para elegir claves de acceso difíciles de robar o adivinar.
Bruce Schneier (*). ESPECIAL PARA CLARIN
A menudo leo que las contraseñas ya no son seguras. La realidad, sin embargo, es más compleja. Las contraseñas son seguras, pero hay que elegirlas bien, y eso es difícil. La mejor manera de explicar cómo elegir una buena contraseña es describir cómo se las viola. El ataque más serio se llama adivinación de contraseña offline. Hay programas comerciales que lo hacen, y se venden sobre todo a los departamentos de policía. También hay herramientas de hacker que adivinan claves.
A medida que las computadoras se volvieron más rápidas, los softs adivinadores mejoraron, y en ocasiones pueden probar centenares de miles de contraseñas por segundo. Y pueden funcionar durante meses en muchas máquinas al mismo tiempo, sin que sus dueños lo sepan. Prueban toda combinación posible de ocho letras, lo que supone 200 mil millones de contraseñas, la mayor parte de las cuales son muy improbables.
Adivina, adivinador. ¿Cómo funcionan estos ciberadivinos? De una forma muy simple y, a la vez, compleja. Primero prueban la más común de las contraseñas: contraseña1. No es un chiste, la contraseña más común solía ser la palabra contraseña. Una contraseña típica consiste en una raíz más un apéndice. La raíz no es necesariamente una palabra del diccionario, pero es algo pronunciable. En el 90% de los casos el apéndice es un sufijo y en el 10%, un prefijo.
Uno de los adivinadores virtuales que analicé empieza con un diccionario de alrededor de mil contraseñas comunes como dejameentrar, temp, 123456 y otras. Luego, prueba cada una de ellas con unos cien sufijos habituales como apéndices 1, 4u, 69, abc, signo !, etc. Así, el software recupera alrededor del 24% del total de las contraseñas tan sólo con esas cien mil combinaciones.
El adivinador prueba luego diferentes diccionarios: palabras en inglés, nombres, palabras en otros idiomas y patrones fonéticos, para las raíces, y dos digitos (fechas, símbolos, etc.) para los apéndices. Aplica los diccionarios con distintos usos de mayúsculas y con las sustituciones más comunes: $ por S, @ por a y 1 por l, por ejemplo. En un par de semanas o un mes, averigua cerca de las dos terceras partes de las contraseñas.
Pero, además, los adivinadores inteligentes reúnen la mayor cantidad de información personal posible antes de empezar sus análisis. Los códigos postales son apéndices comunes, de modo que los prueban. También analizan nombres, direcciones y fechas importantes, entre otros datos de la agenda.
Si puede, el adivinador revisa el disco rígido de la víctima y crea un diccionario de toda la información que contiene, incluso la que hay en los archivos borrados. Si en un oscuro lugar de la compu se conserva un e-mail o un archivo con una contraseña, o si algún programa alguna vez guardo una clave de acceso en la memoria de la máquina, este proceso la recuperará más rápido que si la buscara el propio usuario.
Frases ocultas. Si se quiere que la contraseña sea difícil de adivinar hay que pensar algo que los buscadores de claves no tengan en cuenta. Mi consejo: elegir una frase y transformarla en contraseña. Por ejemplo, "este cerdito fue al mercado" podría convertirse en "ecFUEam", una contraseña de siete caracteres que no figurará en ningún diccionario. No está mal, ¿no?. Pero ya no se puede usar, siempre es mejor elegir una frase propia, más personal.
Las contraseñas seguras pueden fallar porque la gente es descuidada. Las escriben en papelitos que pegan en los monitores, las comparten con amigos o eligen las mismas contraseñas para múltiples aplicaciones. Estos hábitos no preocupan cuando se trata de contraseñas de baja seguridad, pero son peligrosos cuando se usan en accesos a cuentas bancarias y tarjetas de crédito, por ejemplo.
Los sitios web también son descuidados y permiten que la gente establezca preguntas secretas fáciles de adivinar para recordar la contraseña. Otra costumbre insegura es que el sitio las mande por e-mail a los clientes.
Si no podemos retener las contraseñas en la memoria, hay que escribirlas y guardar el papel en la billetera. Pero hay que escribir sólo la frase o, mejor aun, una alusión que nos ayude a recordar la frase. También se puede usar un programa gratuito como Password Safe (http://passwordsafe.sourceforge.net/), que diseñé para ayudar a la gente a guardar todas sus contraseñas de manera segura. La mayor parte de la gente tiene demasiadas contraseñas como para poder recordarlas todas.
Las contraseñas pueden ser una buena autenticación si se las usa de forma adecuada. El auge de otras maneras de autenticación se debe a que la gente no usa las contraseñas de modo seguro, no a que éstas ya no sirvan.
A medida que las computadoras se volvieron más rápidas, los softs adivinadores mejoraron, y en ocasiones pueden probar centenares de miles de contraseñas por segundo. Y pueden funcionar durante meses en muchas máquinas al mismo tiempo, sin que sus dueños lo sepan. Prueban toda combinación posible de ocho letras, lo que supone 200 mil millones de contraseñas, la mayor parte de las cuales son muy improbables.
Adivina, adivinador. ¿Cómo funcionan estos ciberadivinos? De una forma muy simple y, a la vez, compleja. Primero prueban la más común de las contraseñas: contraseña1. No es un chiste, la contraseña más común solía ser la palabra contraseña. Una contraseña típica consiste en una raíz más un apéndice. La raíz no es necesariamente una palabra del diccionario, pero es algo pronunciable. En el 90% de los casos el apéndice es un sufijo y en el 10%, un prefijo.
Uno de los adivinadores virtuales que analicé empieza con un diccionario de alrededor de mil contraseñas comunes como dejameentrar, temp, 123456 y otras. Luego, prueba cada una de ellas con unos cien sufijos habituales como apéndices 1, 4u, 69, abc, signo !, etc. Así, el software recupera alrededor del 24% del total de las contraseñas tan sólo con esas cien mil combinaciones.
El adivinador prueba luego diferentes diccionarios: palabras en inglés, nombres, palabras en otros idiomas y patrones fonéticos, para las raíces, y dos digitos (fechas, símbolos, etc.) para los apéndices. Aplica los diccionarios con distintos usos de mayúsculas y con las sustituciones más comunes: $ por S, @ por a y 1 por l, por ejemplo. En un par de semanas o un mes, averigua cerca de las dos terceras partes de las contraseñas.
Pero, además, los adivinadores inteligentes reúnen la mayor cantidad de información personal posible antes de empezar sus análisis. Los códigos postales son apéndices comunes, de modo que los prueban. También analizan nombres, direcciones y fechas importantes, entre otros datos de la agenda.
Si puede, el adivinador revisa el disco rígido de la víctima y crea un diccionario de toda la información que contiene, incluso la que hay en los archivos borrados. Si en un oscuro lugar de la compu se conserva un e-mail o un archivo con una contraseña, o si algún programa alguna vez guardo una clave de acceso en la memoria de la máquina, este proceso la recuperará más rápido que si la buscara el propio usuario.
Frases ocultas. Si se quiere que la contraseña sea difícil de adivinar hay que pensar algo que los buscadores de claves no tengan en cuenta. Mi consejo: elegir una frase y transformarla en contraseña. Por ejemplo, "este cerdito fue al mercado" podría convertirse en "ecFUEam", una contraseña de siete caracteres que no figurará en ningún diccionario. No está mal, ¿no?. Pero ya no se puede usar, siempre es mejor elegir una frase propia, más personal.
Las contraseñas seguras pueden fallar porque la gente es descuidada. Las escriben en papelitos que pegan en los monitores, las comparten con amigos o eligen las mismas contraseñas para múltiples aplicaciones. Estos hábitos no preocupan cuando se trata de contraseñas de baja seguridad, pero son peligrosos cuando se usan en accesos a cuentas bancarias y tarjetas de crédito, por ejemplo.
Los sitios web también son descuidados y permiten que la gente establezca preguntas secretas fáciles de adivinar para recordar la contraseña. Otra costumbre insegura es que el sitio las mande por e-mail a los clientes.
Si no podemos retener las contraseñas en la memoria, hay que escribirlas y guardar el papel en la billetera. Pero hay que escribir sólo la frase o, mejor aun, una alusión que nos ayude a recordar la frase. También se puede usar un programa gratuito como Password Safe (http://passwordsafe.sourceforge.net/), que diseñé para ayudar a la gente a guardar todas sus contraseñas de manera segura. La mayor parte de la gente tiene demasiadas contraseñas como para poder recordarlas todas.
Las contraseñas pueden ser una buena autenticación si se las usa de forma adecuada. El auge de otras maneras de autenticación se debe a que la gente no usa las contraseñas de modo seguro, no a que éstas ya no sirvan.
(*) El autor es escritor y experto en Seguridad.
(c)The Guardian y Clarín. Traducción: Joaquín Ibarburu.
Entradas
No hay comentarios:
Publicar un comentario