• Tweet

Los procesadores modernos romper defensas débiles

La disponibilidad de herramientas para craquear contraseñas basadas en procesadores gráficos cada vez más poderosos, significaría que incluso contraseñas cortas cuidadosamente elegidas están en riesgo de ser craqueadas ante un ataque inminente.

Una contraseña de menos de 7 caracteres será pronto “completamente inadecuada” incluso si contiene símbolos, así como caracteres alfanuméricos, de acuerdo con científicos de computación del Instituto Tecnológico de Investigación de Georgia. Los investigadores de seguridad recomiendan contraseñas de al menos 12 caracteres de largo.

Las capacidades de realización de un sinúmero de cálculos en los procesadores gráficos se han aplicado recientemente a la auditoria de contraseñas comerciales y herramientas de recuperación de la desarrolladora rusa ElcomSoft. Esto supone seguramente que los black hats pueden usar el mismo tipo de tecnología con fines poco loables. Richard Boyd, del Instituto Tecnológico de Investigación de Georgia, dijo a la BBC que la capacidad de cálculos múltiples en las tarjetas graficas se compara solo con las supercomputadoras construidas hace 10 años.

Las contraseñas largas son mejores para resistir ataques inminentes que se basan en probar todas las posibles combinaciones de caracteres, aunque utilizar contraseñas largas no es suficiente. El ataque de diccionario trabaja sobre contraseñas mal escogidas (fáciles de adivinar), incluso contraseñas complejas de 20 caracteres son inútiles en máquinas infectadas con troyanos keylogger.

Los problemas prácticos en la aplicación de contraseñas en la Web se han convertido en un área productiva de la investigación académica de los últimos tiempos. Joseph Bonneau y Sören Preibusch publicaron recientemente un ensayo titulado "The password thicket: technical and market failures in human authentication on the web", presentado en Boston durante la conferencia de WEIS en junio de 2010. En el trabajo, y en una serie de otros cuatro artículos publicados en el blog Light Blue Touchpaper, los dos científicos en computación realizaron un análisis de implementaciones de contraseñas, basado en un estudio de 150 populares sitios de comercio electrónico, noticias y correo web.

Mientras los investigadores de Georgia están enfocados en la resistencia y otras maneras en que los usuarios eligen sus contraseñas, el equipo de Cambrige estudió cómo los sitios web desarrollan y aplican políticas de contraseñas de seguridad. Muchos sitios Web fallan al aplicar mejores prácticas como: contraseñas almacenadas, sólo bloquear o al menos limitar los intentos múltiples para adivinar nombres de usuarios o contraseñas.

El equipo de Cambrige también estudió como los sitios Web de menos seguridad pueden comprometer a otros de mayor debido a la tendencia de los usuarios de reutilizar contraseñas en múltiples dominios. Ellos sugieren que algunos sitios con menor seguridad (como los sitios de periódicos) insisten en el uso contraseñas, “primeramente por razones psicológicas, como justificación para la colección de datos de mercado y por otra como manera de construir relaciones de confianza con los clientes”.