¿Por qué los sitios web nos hacen seleccionar contraseñas extremadamente complejas, cuando ese método de piratería (fuerza bruta) ha sido obsoleto durante años?

No importa cuán seguro sea el cifrado, no importa si un sistema nunca puede ser explotado, no importa cuán grande sea su hasher, fallará si su contraseña es “12345” o incluso neumonoultramicroscopicsilicavolcanoconiosis .

La fuerza bruta NUNCA ha sido obsoleta, y NUNCA lo será. Porque, en este momento, probablemente hay millones de cuentas de gmail, cuentas de Quora y cuentas de Facebook que tienen contraseñas muy pobres.

El promedio (y me refiero al promedio, ya que hay galletas que son mucho mejores y las que son mucho peores) puede pasar por un millón de combinaciones por segundo. Lo que significa que debe tener un mínimo de 10 letras en su contraseña para obtener una seguridad mínima.

Pero, ¿qué pasa con la neumonoultramicroscopicsilicavolcanoconiosis ? Ya ves, esa es una palabra. Uno de los métodos más comunes de burte-force es el “ataque de diccionario”, donde, como su nombre indica, un cracker toma una lista de todas las palabras del mundo y las prueba a todas. Entonces, ¿por qué alguien usaría una palabra real? Debido a que para las contraseñas de más de 7 caracteres, las personas tienden a olvidarlas y a recordarlas (recuerde: la seguridad a menudo se intercambia por conveniencia) las personas usan palabras. Incluso si es una palabra científica que PIENSAS que nadie sabe, el descifrador de contraseñas promedio podría pasar por todo el diccionario de Oxford (incluidas las 48,000 palabras obsoletas allí) en menos de un cuarto de segundo.

Aunque realmente no he oído hablar de sitios web que REQUIEREN que ingrese una contraseña compleja, he conocido a aquellos que requieren que ingrese una letra mayúscula, números y símbolos (menos probables). Incluso entonces, agregar un número a “Joe” para hacer que “Joe4” no ralentice exactamente una galleta.

Para saber cuál debería ser la longitud de su contraseña, hubo algo en las noticias en 2012, un clúster de 25 GPU supuestamente podría pasar por 350 BILLONES de contraseñas por segundo. Eso supuestamente fue suficiente para descifrar todas las contraseñas de Windows posibles. Pero ya ves, el problema que tengo al creer esto es que, bueno, OBVIAMENTE después de tal revelación, los piratas informáticos de todo el mundo comenzarán inmediatamente a piratear el correo electrónico, los archivos de texto, etc. del creador para obtener conocimiento del algoritmo. Si esto fuera real, la contraseña necesaria para vencer esto tendría que ser bastante grande, ¿verdad? Entonces, supongo que gg NSA?

Para que una contraseña sea efectiva, debe tomar al hacker al menos (mi opinión, recuerde) un año para descifrar. Por lo tanto, una contraseña debe tener más de 11,037,600,000,000,000,000 combinaciones. Si usa letras mayúsculas y no mayúsculas, puede vencer esto con una combinación de 12 letras (si mis cálculos son correctos), ya que tales combinaciones tienen aproximadamente 390,877,010,000,000,000,000, lo que significa que tomará aproximadamente 30 años para descifrar.

Teniendo en cuenta la “ley” de Moore, durante los cuatro años que pasaron este anuncio, esto daría como resultado 44.150.400.000.000.000.000, que todavía es derrotado por la combinación de 12 letras.

Pero, ya ves, ¿quién AMBOS para hacer una contraseña tan larga (?)? Puede reducir las letras mediante el uso de contraseñas como [correo electrónico protegido] # Hello123 (que simplemente mantiene presionada la tecla Mayús y presiona 123, dando los símbolos), aunque es su trabajo hacer los cálculos para calcular la longitud mínima de la contraseña. Pero ya ves, a la mayoría de las personas no les importa hacer esto, y dicen “¿WUT? ¿Cómo se las arregló para adivinar ‘Samuel123’? ”Y esto probablemente también refuerza la creencia de que todo“ pirateo ”está“ explotando ”. No, la mayoría de los pirateos se trata de aprovechar la pereza humana de no molestarse en hacer una contraseña de 7 caracteres. de 6 (lo que hace un aumento MASIVO al número de combinaciones necesarias para la contraseña. Viejos medio millón de crackers por segundo ven un salto de medio año a 14 años).

También hay problemas de phishing, por lo que no utiliza la misma contraseña para todas las cuentas, pero eso es para otro momento.

Espero haberte convencido de que la fuerza bruta siempre estará presente cuando la conveniencia sobre la seguridad continúe prevaleciendo.

¿Cuánto piensan los desarrolladores de sitios web sobre seguridad?

¿Qué programa antivirus gratuito es mejor, Panda o Avira?

¿Cuál es el mejor antivirus gratuito y sin conexión para PC (Windows 8)? ¿Cómo puedo descargarlo e instalarlo?

¿Es sensato usar Tencent como antivirus gratuito?

¿Cuáles han sido los ataques informáticos más devastadores en la historia de los Estados Unidos?

¿Qué es la seguridad en línea?

Es cierto que las contraseñas ocultas en Unix redujeron en gran medida el riesgo: en la década de 1980, un usuario habitual en un sistema Unix podía acceder a las contraseñas hash. Ahora, se necesita un administrador: un usuario primero tendría que hackear el sistema. Pero en algunos de los grandes ataques al sitio web, los piratas informáticos han obtenido grandes listas de contraseñas hash que son vulnerables a los ataques fuera de línea del diccionario y la fuerza bruta. Estoy de acuerdo con usted hasta cierto punto: la posibilidad de keyloggers, ya sea en el cliente o en el sitio web, y la suplantación de identidad (phishing) de los administradores, hace que no tenga sentido usar una contraseña ridículamente larga y compleja, ya que se puede omitir todo el mecanismo.

Un estudio realizado por Google hace uno o dos años (¿2014?) Mostró que las preguntas de restablecimiento de contraseña a menudo eran demasiado débiles y demasiado vulnerables para adivinar o descubrir en las redes sociales.

Christos Dalamagkas

Veo dos razones principales:

Las contraseñas complejas no se pueden predecir. Un hacker puede usar una lista de palabras (una lista de millones de posibles contraseñas) para “adivinar” su contraseña. Estará seguro si su contraseña no está incluida en una lista de palabras y es muy poco probable que un hacker adivine eso al conocer información personal.
La potencia de procesamiento aumenta año tras año. Las computadoras se vuelven más poderosas y los algoritmos hash se vuelven más vulnerables y usan claves más grandes para maximizar la complejidad. Para protegerte de esta continua “carrera de rally”, debes elegir contraseñas seguras.

Recuerde que al usar una contraseña que tenga números más letras mayúsculas más letras más letras más caracteres especiales, maximiza las combinaciones posibles y, por lo tanto, la potencia de cálculo que se debe usar para forzar su contraseña.

Brian Tsai

Bueno, primero su afirmación de que las contraseñas son obsoletas es incorrecta y la autenticación de contraseña es, en varios órdenes de magnitud, el método más común de autenticación. En segundo lugar, la seguridad es un esfuerzo de varias capas y es mucho mejor tener muchas capas, incluso si algunas son relativamente débiles, que confiar en una o dos capas “fuertes”. Tercero, la forma más común en que los atacantes obtienen acceso a múltiples servicios que usa la misma persona es porque usan la misma autenticación (generalmente simple). Cuarto, el uso generalizado de la autenticación de dos factores mitiga muchos de los problemas con la autenticación tradicional de nombre de usuario y contraseña (aparte del hecho de que los usuarios tienden a usar los mismos una y otra vez).

En resumen, las contraseñas son abrumadoramente comunes y no está nada claro que haya una tecnología que sea aceptable para los usuarios que pueda reemplazarla en un futuro cercano. Tener reglas sobre las contraseñas hace una gran diferencia en el tiempo que lleva forzarlas por fuerza bruta, que es una de las formas más fáciles de descifrar contraseñas hash que son simples.

Eche un vistazo al análisis aquí sobre cuánto impacto tiene un poco de complejidad en las contraseñas en los intentos de fuerza bruta.

Ataques de fuerza bruta

Christos Dalamagkas

More Interesting

¿Qué son las cadenas de archivos y cómo son indicativas de malware?

¿Cuáles son algunas de las principales compañías de seguridad cibernética en la India?

¿Cuál es el alcance de los profesionales de seguridad de la información en India y en el extranjero?

¿El programa antivirus gratuito AVG está ralentizando mi computadora portátil o podría ser otra cosa?

¿Qué impide que las personas obtengan contraseñas de WiFi configurando un punto de acceso falso con el mismo SSID que su objetivo?

Dada una computadora comprometida, ¿podría ocultar un troyano en una unidad USB y hacer que se extraiga automáticamente cada vez que la unidad se inserta en otro lugar?

¿Qué es un buen curso para la seguridad cibernética? Estoy buscando comenzar una carrera en el sector de seguridad cibernética. Todos los cursos relevantes serán apreciados.

Cómo eliminar ese malware, adware y cosas malas en Chrome en Mac