Este documento describe cómo han evolucionado los ataques para romper contraseñas. Las contraseñas débiles y la reutilización de contraseñas han hecho que la seguridad de las contraseñas sea más débil que nunca. Filtraciones recientes de contraseñas han proporcionado a los hackers nuevas técnicas como el uso de reglas y patrones para predecir contraseñas. Los ataques ahora son más rápidos debido a hardware más potente y técnicas híbridas que combinan diccionarios con reglas.
2. Passwords
Today the confidentiality of data is one of the main
objectives of computer security and one way to achieve this
is through the use of passwords.
Passwords are keys that we use to access our private
information that is stored on the computer, such as email,
bank accounts or any other source of information storage,
whether private or confidential.
3. The main problem of security is the use of weak contraseñaas for data
protection, as this allows intruders achieve systems perform different attacks
trying to compromise safety.
One of the best solutions available in such a situation is to use strong
passwords or use of conferring a higher degree of safety for the protection of
information (Although this does not prevent password can be hacked).
One of the main drawbacks in the use of strong passwords is that they are very
complex and tend to be difficult to remember, but there are techniques that
allow us useamos these passwords can be saved without andarlas pointing or
telling leaves someone else.
4.
5. Why should we set a strong password?
In the wide world of Internet, malicious users are using different tools (eg
viruses) with the intention to crack passwords from a remote computer.
This work will make it easier for malicious users, if we (the user) uses weak
passwords or easily.
When we speak of weak passwords can mean blank password (no password)
using the user's first or last name, a word that appears in a dictionary, the name
of the pet or child (a) of the user, etc. .
To preserve the privacy of our data and to protect us from malicious must
establish a strong password provided to protect us from the attacks of these
intruders.
Having a strong and secure password can significantly reduce this risk class
(down but not eliminate).
6. For example, imagine you are doing online banking transfers and a malicious
user to browse the network tries to guess your password using different tools, if
your password is weak, it could be easily discovered and the attacker could
perform transfers wishing to another account but you will notice it.
page that tells you how secure is your
password.
http://howsecureismypassword.net
7. What issues should I consider, and recommendations
for the creation and use of passwords?
Don't use in your password personal information that may relate to you. Don't
use birth dates, phone numbers, addresses, nicknames, names of family, etc..
because it is relatively easy to find information.
Don't use words that can be found in a dictionary (no matter whether they are in
a language you do not drive much).
Don't disclose your password to anyone.
A malicious user can pretend to be someone else on the phone or via email,
and use any false pretext by which need your password.
Change your password periodically. As a good security practice is advisable to
change at least once a month, the password in each of the services you use.
8. Hackers use various tools to try all possible
words in dictionaries of several languages
seeking to decrypt the password.
Don't make public your password under any
circumstances. You should never write your
password down, or on a post-it, or in any file or
any electronic medium.
9. Don't use the same password. You should have passwords on each system
(social networks, operating systems, bank cards, etc.). Failure to comply with
this rule, it is the possibility that someone discovers that password on any of the
systems you use, and this could make use of all systems where you have that
password.
Never make banking on public computers such as cybers, as these tend to be
full of viruses and / or programs that these could get your bank details.
One of the common activities of intruders to compromise a computer equipment
is installing keylogger programs that aim to record everything you type from the
keyboard to send the intruder later, this includes of course, passwords.
10. Steps
Don't pick a password that has special meaning to you. This includes names of
people close to you, your pet's name or the name of your partner.
A classic mistake is to use the name of your boyfriend or girlfriend
"I_love_to_Pepe", "Maria".
Mix letters, symbols, numbers, and uses case sensitive. This combination is
known as "semi-random alphanumeric combination." If you use this, it's almost
impossible for someone to identify your password. For example "c0ntr4%%.
Se43ñi4".
Try to choose a good way to remember your password. One way to do this is to
choose the first letter of the sentence that you will use as a base. Example "I
have 2 dogs, one is called Pipo and the other Rufi" giving us "Ih2d, oicPatoR".
11. Try to memorize the password without writing it. Someone could find,
intentionally or not, the piece of paper where you wrote your password.
Choose a long password whenever possible. A password must always be
greater than 6 characters. Any password can be unsafe smaller because there
are programs that may try to enter your system using the "brute force". This
program tests all possible combinations of letters and numbers to find the right
combination (As we have been doing in crypto).
At least, create a password for sensitive items (online banking, personal email)
and one for everything else (MSN, personal sites, wikis, etc.).
12. An example:
Suppose you have 5 email accounts, 3 operating system
password, 3 bank accounts (each with a different
password, PIN), 10 different users on forums, wireless
number having pin numbers 2-4 (If you a programmer or
database administrator multiply that number by 3).
Let's say that for each of these have a variation of
"c0ntr4%%. Se43ñi4" Now try to memorize 20 of those
sequences! It is very difficult, but if you let each password
is according to each situation, then it will be easier.
13. For example, for the account of the bank, such as PIN numbers are 4 you can
choose these in one sentence: "I have three white dogs, 1 cat and all get along
great with the 2 mice" would be the sum of all cats and dogs, so the key would
be: (3142), and addressed e-mail account can be "I hope no one find out my
super secret password!" (Eenamcss!).
Use a password manager. Basically this is a program that allows you to encrypt
all your passwords in one file.
To open the program you just need a password. Once you've opened, not even
need to know the password, just click "copy password" and copy it into your
browser.
There are many free products and don't need to spend money on new
software. Get one that does not need to be installed on your system and that
can be run from anywhere, computer or storage media: CD ROM, hard drive,
USB flash.
15. ● A finales de 2010, Sean Brooks recibió tres mensajes de correo electrónico en
un lapso de 30 horas de advertencia de que sus cuentas en LinkedIn, Battle.
net y otros sitios populares corrían peligro. Fue tentado a despedirlos como
bulos — hasta que notó que incluyeron características que no son típicas de
fraudes de estafadores.
● Los avisos de advertencias y millones de otras personas que recibieron en
diciembre de ese año no eran mentiras. Dentro de algunas horas de hackers
anonymous penetrando servidores de Gawker y exponiendo las contraseñas
protegidas criptográficamente de 1,3 millones de sus usuarios, fueron las
contraseñas que se hackearon y utilizándolas para entrar en las cuentas de
Twitter y enviar spam.
● En los próximos días, los sitios de asesoramiento obligaron a sus
usuarios a cambiar las contraseñas y se amplió para incluir Twitter,
Amazon y Yahoo.
● El antiguo arte de hackeo de contraseñas ha avanzado más en los
últimos cinco años que en la anterior varias décadas combinado. Al
mismo tiempo, ha aumentado la peligrosa práctica de reutilización de
contraseña. El resultado: seguridad proporcionada por la contraseña
promedio en 2012 nunca ha sido más débil.
16. Un nuevo mundo
● El usuario Web promedio mantiene 25 cuentas separadas pero utiliza 6.5
contraseñas sólo para protegerlos, según un estudio desde 2007.
● El Hardware más reciente y las técnicas modernas también han ayudado a
contribuir al aumento de hackeo de la contraseña. Ahora utilizan cada vez
más para la informática, procesadores de gráficos que permiten hackeo de
contraseña con programas para trabajar miles de veces más rápidos que lo
hicieron sólo una década igualmente al precio de PC que utiliza CPUs
tradicionales solos. Un PC con un solo AMD Radeon HD7970 GPU, por
ejemplo, puede intentar en promedio unas asombrosas combinaciones de 8,2
billones de contraseña cada segundo, según el algoritmo utilizado para
codificarlos. Sólo hace una década, dichas velocidades son posibles solamente
cuando se usa superordenadores caros.
17. ● Lo más importante, una serie de fugas en los últimos años que contiene más
de 100 millones de contraseñas de reales han proporcionado hackeos con
importantes ideas nuevas sobre cómo personas en diferentes ámbitos de la
vida eligen contraseñas en sitios diferentes o en diferentes contextos. La
creciente lista de contraseñas filtradas permite a los programadores escribir
reglas que hagan algoritmos más rápidos y más precisos; los ataques de
contraseña se han convertido en ejercicios de cortar y pegar algún script
kiddies(personas sin habilidad para programar) y que pueden realizar con
facilidad.
● La contribución más importante de hackeo vino a finales de 2009, cuando se
atacan una inyección SQL contra Juegos online por servicio RockYou.com
exponiendo 32 millones contraseñas de texto simple utilizadas por sus
miembros para iniciar sesión en sus cuentas.
● Las claves de acceso, que llegó a 14,3 millones una vez duplicados fueron
retirados, fueron publicados en línea; casi toda la noche, el corpus sin
precedentes de credenciales reales cambió las manera whitehat blackhat
hackers tanto agrietadas y contraseñas
18. Hashing hacia fuera
● En diciembre de 2010, existían 1,3 millones contraseñas legibles. En
cambio, habían sido convertidos en lo que se conoce como "valores hash"
pasándolas a través de una función criptográfica unidireccional que crea
una única secuencia de caracteres para cada entrada de texto.
● Cuando pasaba por el algoritmo MD5, por ejemplo, la cadena "contraseña"
(menos las comillas) se traduce en “5f4dcc3b5aa765d61d8327deb882cf99”
● En teoría, una vez que una cadena se ha convertido en un valor de hash, es
imposible volver a texto simple utilizando medios criptográficos. Password
cracking(rompimiento o descifrado de claves), entonces, es la práctica de
ejecutar conjeturas de texto simple a través de la misma función criptográfica
utilizada para generar un hash comprometido. Cuando los dos valores hash
coinciden, la contraseña ha sido identificada.
●
19. “Rockyou” lo haremos
● Tras RockYou, todo cambió en el pasado fueron listas de palabras que
compilan de Webster y otros diccionarios que luego fueron modificadas con
la esperanza de imitar a la gente de palabras que realmente utilizan para
acceder a su correo electrónico y otros servicios en línea. En su lugar fue una
colección única de letras, números y símbolos — incluyendo todo, desde
mascotas nombres de personajes de dibujos animados, que sería la semilla
contraseña futuros ataques.
● Casi tan importante como las palabras precisas que se utiliza para tener
acceso a millones de cuentas en línea, el incumplimiento de RockYou reveló
las pensamiento estratégico de personas empleadas a menudo cuando
escogieron un código de acceso. Para la mayoría de las personas, el objetivo
era hacer la contraseña fácil de recordar y difícil de adivinar. No en vano, la
lista de RockYou confirmaron que casi todas las letras mayúsculas al
principio de una contraseña; casi todos los números y signos de puntuación
aparecen al final. También reveló una fuerte tendencia a utilizar el primer
nombre seguido por años, tales como Julia1984 o Christopher1965.
20. ● Uno es agregar números o caracteres no alfanuméricos como "!" para
ellos, generalmente al final, pero a veces al principio. Otra, conocida
como la "mutilación", transformaciones de palabras como "super" o
"Princesa" en "sup34" y "Príncipe$ $". Todavía otros anexar una
imagen espejo de la palabra elegida, por lo que «libro» se convierte en
"bookkoob" y "contraseña" se convierte en "passworddrowssap."
21. Un poco de tacto
Que sutileza toma todo tipo de formas. Una técnica prometedora es
utilizar programas como el Passpal de código abierto para reducir el
tiempo de hackeo identificando patrones que exhiben en un
porcentaje significativo de contraseñas interceptadas. Por ejemplo,
como se señaló anteriormente, muchos de los usuarios del sitio
tienden a añadir años a nombres propios, palabras u otras cadenas
de texto que contienen una sola letra capital al principio.
● Usando técnicas de fuerza bruta para descifrar la contraseña
Julia1984 requeriría 629 posibles combinaciones, una "clave" que
se calcula por el número de posibles letras (52) más el número de
números (10) y elevar la suma del poder de nueve (que en este
ejemplo es el número máximo de caracteres de la contraseña está
dirigida un hacker). Usando un AMD Radeon HD7970, todavía
tardaría unos 19 días para recorrer todas las posibilidades.
22. Utilizando las funciones incorporadas en apps de hackeo de
contraseñas como Hashcat y fuerza bruta extrema GPU, la
misma contraseña puede recuperarse en unos 90 segundos
realizando lo que se conoce como un ataque de la máscara.
Funciona reduciendo inteligentemente la clave en sólo esas
conjeturas probables que coincidan con un patrón determinado.
● En lugar de intentar aaaaa0000, ZZZZZ9999 y todas las
combinaciones posibles entre estas, se trata de una letra
minúscula o superior sólo para el primer carácter y trata de
caracteres sólo minúsculas para los próximos cuatro
caracteres. Luego agrega todos los posibles números de cuatro
dígitos al final. El resultado es una clave drásticamente
reducida de unos 237,6 billones, o 52 * 26 * 26 * 26 * 26 * 10 *
10 * 10 * 10.
23. Ataque híbrido
● Una técnica aún más poderosa es un ataque híbrido. Combina una
lista de palabras, como el utilizado por Redman, con reglas para
ampliar enormemente el número de contraseñas pueden romper esas
listas. En lugar de fuerza bruta-obligar a las cinco letras en Julia1984,
los hackers simplemente recopilan una lista de nombres para cada
usuario de Facebook y agregan a un diccionario de tamaño mediano
de, digamos, 100 millones palabras.
● Mientras que el ataque requiere más combinaciones que el ataque de
máscara anterior — específicamente aproximadamente 1 trillón (100
millones * 104) posibles cadenas — sigue siendo un número
manejable que toma sólo unos dos minutos, usando la misma tarjeta
de AMD 7970. La recompensa, sin embargo, es más que vale la pena
el esfuerzo adicional, ya que rápidamente quebrara o romperá,
Christopher2000, thomas1964 y decenas de otros.
24. Ataque de diccionario
● Este tipo de rompimiento de contraseña entró el agradecimiento de la
conciencia pública en gran medida a la década de 1980 de una novela de
suspenso The Cuckoo's Egg, en qué el autor Cliff Stoll relata su búsqueda de
la vida real de un hacker que se rompe en los sistemas informáticos y roba
militar sensible y documentos de seguridad en nombre de la KGB Soviética.
● El libro está repleto de gente en lugares altos que socava la seguridad
nacional con higiene deficiente contraseña — una cuenta en la red de
contratista de defensa SRI Inc. con un nombre de usuario y contraseña del
"Saco", por ejemplo, o una cuenta de superusuario para Lawrence Berkeley
Labs que no había sido cambiado en años.
● "Cuando el dinero fue almacenado en bóvedas, seguro-quebaradas atacaron
las cerraduras de combinación," escribe Stoll, quien como un astrónomo
desplazado se convierte en el protagonista del libro improbable hacker-
caza. "Ahora que los valores son solo bits en la memoria de una
computadora, ladrones van tras las contraseñas".
25. La conexión de arco- Rainbow
● El nucleo de este nuevo enfoque se originó con Martin E. Hellman. En 1980,
Hellman publicó un libro titulado "Un criptoanalítico de memoria de tiempo de
compensación" que propuso lo que llegó a ser llamado tablas Hellman. Estas tablas
fueron compiladas por delante de un ataque de contraseña y trabajadas utilizando
previamente calculados de los datos almacenados en disco.
● Las tablas de Hellman redujeron los recursos informáticos necesarios para crackear
un hash DES de alrededor de $5.000 a solo $10. En 2003, criptógrafo compañero
Phillippe Oechslin propone mejoras a la técnica de Hellman que había mejorado
enormemente la eficacia.
● El resultado es ahora lo que se conoce como las tablas de arcoiris. En vez de pedir un
equipo para enumerar cada contraseña posible en tiempo real y compararla con un
hash específico, los datos previamente calculados eran almacenados en la memoria o
en disco en forma altamente comprimida para acelerar el proceso y bajo los
requisitos informáticos necesitan para bruta fuerza a enormes cantidades de hashes.
26. ● Cada tabla dirige un algoritmo específico y clave, y contiene
una colección de cadenas. Cada cadena se inicia con una
contraseña arbitraria por un lado y termina con un valor de
hash único en el otro extremo.
● Se pone la contraseña de inicio mediante el algoritmo para
generar el hash, y ese valor se pasa a través de uno de los
muchos diferente "funciones de reducción" para generar una
nueva estimación de contraseña. La nueva contraseña luego es
quebrada.
27. ● El proceso continúa hasta que se alcance el hash al final de la cadena
28. ● El avance no fue sólo la velocidad con que las tablas podrían
descifrar contraseñas; también fue su habilidad para descifrar
casi cada contraseña posible mientras que no caiga fuera de la
clave específica.
● Las tablas Rainbow se creen que recibe su nombre debido a
que cada eslabón de la cadena utiliza una función de
reducción diferentes, pero todas las cadenas siguen el mismo
patrón — tanto como cada color en rainbow es diferente pero
todos rainbows siguen el patrón ROYGBIV.
29.
30. El SHA1 no es un algoritmo de hash seguro
● Un gran porcentaje de los sitios que son víctimas de violaciones de contraseña
cometer otro error que disminuye aún más la protección de hashes: utilizan
algoritmos que nunca fueron diseñados para proteger las contraseñas. Eso es
porque MD5, SHA1 y DES fueron diseñados para convertir texto plano hashes
muy rápidamente con mínimos recursos de computación, y esto es exactamente
lo que las personas que ejecutan programas de descifrado de contraseñas más
desean.
● Para apreciar cuán pobre una contraseña hash se seleccionaron estos son
algoritmos , considere esto: El investigador de seguridad independiente Jeremi
Gosney tomó cerca de seis días más del 90% de los 6,5 millones hash SHA1
expuestos en el incumplimiento de LinkedIn. Recuperó una quinta parte de las
contraseñas de texto simple en sólo 30 segundos. En las siguientes dos horas, él
había recuperado otro tercio de ellos. Un día en el ejercicio, había recuperado
un total de 64 por ciento, y en los cinco días que siguieron él rajados otro 26 por
ciento.
●
31. ● El algoritmo de Bcrypt es incluso más costoso computacionalmente, en
gran parte debido a que somete el texto a varias iteraciones del cifrado
Blowfish que deliberadamente se ha modificado para aumentar el tiempo
necesario para generar un hash.
● Estas funciones costosas computacionalmente requieren mayor servidor de
procesamiento, por supuesto. Esto puede aumentar la carga en los
servidores Web y aún podía abrirlos hasta nuevos tipos de ataques DoS,
dijo Matt Weir, un estudiante post-doctoral de Florida State University,
cuyo Doctorado centrado en contraseñas.
32. Fuerza bruta- Golpeando la pared
● Computación incluso potentes motores tienen problemas para grietas
más contraseñas mediante la fuerza bruta. Suponiendo que dicho ataque
comprueba todas las combinaciones de todos los 95 letras, números y
símbolos disponibles en un teclado estándar de inglés, tarda una
cuestión de horas para un equipo de escritorio con un núcleo de Intel
procesador i7 980 x fuerza bruta averiguar cualquier contraseña de cinco
caracteres.
● Agregar una tarjeta GPU a un sistema sin duda ayuda, pero no tanto
como muchos podrían imaginar. Un AMD Radeon 6970 todavía necesita
más de 10 días a la fuerza bruta de un código de siete caracteres. Y la
pared apenas mineralización incluso cuando significativamente más
potentes recursos llegan a tener. Utiliza un sistema de cloud de Amazon
EC2 que combina la potencia de más de 1.000 GPUs individuales,
todavía tarda unos 10 días a fuerza bruta una contraseña de ocho
caracteres.
33. ● Por Thorsheim, un asesor de seguridad que se especializa en contraseñas para una gran
empresa con sede en Noruega, dijo que el atributo más importante de cualquier código
de acceso es que sea exclusivo de cada sitio.
● Ambas aplicaciones permiten a los usuarios, crear contraseñas generadas aleatoriamente
y almacenar de forma segura en un archivo criptográficamente protegido que se
desbloquea con una sola contraseña maestra. También es esencial usar un gestor de
contraseñas para cambiar contraseñas con regularidad.
● Dada la sofisticación de los hackers, cualquier cosa menos simplemente significa que su
contraseña es trivial para romper.