La puerta de los Hackers, claves débiles…

Los hackers para entrar a sistemas protegidos no realizan una complicada proeza técnica, es adivinando la contraseña. Adivinarla no es nada difícil, considerando que la contraseña o clave más común en los sistemas empresariales es “Password1.” Existe una razón técnica para la popularidad de esa contraseña: tiene una letra en mayúscula, un número y nueve caracteres. Eso satisface las reglas de complejidad de muchos sistemas, incluyendo la configuración de serie del muy usado software de gestión de identidad Active Directory, de Microsoft.

Alrededor del 5% de las contraseñas involucraba una variación de la palabra “password”, descubrieron los investigadores de la compañía. La subcampeona fue la palabra “welcome”, usada en más del 1% de los casos. Contraseñas fácilmente adivinables o en blanco fueron las debilidades más frecuentes descubiertas por la unidad SpiderLabs de Trustwave el año pasado, luego de aplicar pruebas de penetración en los sistemas de sus clientes. La firma aplicó una variedad de herramientas de descifrado de contraseñas sobre 2.5 millones de claves, y pudo decodificar con éxito más de 200,000.

El año pasado, aprovechar las contraseñas adivinables o poco complejas fue el principal método usado por los atacantes para acceder a los sistemas. Esa estrategia jugó un papel en el 29% de las violaciones de seguridad investigadas por el equipo de Verizon. El hallazgo más aterrador hecho por Verizon es que los atacantes suelen estar dentro de las redes de las víctimas por meses o años antes de ser descubiertos. Menos del 20% de las intrusiones investigadas por la empresa fueron detectadas en días, ya no digamos horas.

Entonces, si la contraseña es algo que puede adivinarse, ¿cuál es la mejor manera de hacerla más segura? Alargarla. Hacerla más compleja (por ejemplo, sustituir “password” por “p@S$w0rd”) protege contra los llamados ataques de diccionario, que introducen automáticamente una lista de palabras estándar. Pero dado que los atacantes usan cada vez más recursos para explorar cualquier combinación de caracteres posible… la longitud es la única protección efectiva. Una contraseña de siete caracteres tiene 70 billones de combinaciones posibles; una de ocho tiene más de 6 trillones.

Con todo, las opciones de varios trillones no asustan a las máquinas modernas. Trustwave usó una computadora de 1,500 dólares hecha de partes ensambladas, y tardó sólo 10 horas para cosechar 200,000 contraseñas descifradas.

About these ads

Un comentario el “La puerta de los Hackers, claves débiles…

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s