¿Por qué me veo obligado a usar contraseñas seguras?

La razón por la que se le solicita una contraseña segura es porque se puede adivinar una insegura a través de “ataques de diccionario”, “ataque de fuerza bruta” o “ataque de la mesa del arco iris”.

Cuando los sitios se ven comprometidos, los atacantes extraerán su información personal junto con su contraseña de la base de datos. Si bien hoy en día casi todos los sitios almacenan su contraseña en forma hash (no en texto plano) que le ofrece cierta protección, los atacantes ejecutarán un craqueador de contraseñas contra las contraseñas hash.

La única forma de adivinar su contraseña cuando se almacena como un hash es hacer un hash de una contraseña candidata y ver si el valor de hash resultante coincide. (Hash es a la vez un verbo y un sustantivo). Con las GPU modernas diseñadas para realizar cálculos de coma flotante muy rápido y en paralelo, un atacante puede probar miles de millones de hashes por segundo , por lo que adivinar una contraseña corta puede llevar segundos o minutos.

Por lo tanto, desea una contraseña que sea fácil de recordar pero difícil de adivinar.

Para que su contraseña sea difícil de adivinar, debe ser larga y tener mucha entropía al incluir diferentes clases de caracteres. “Todo en minúsculas” es una clase de caracteres. “Todo en mayúsculas” es otra clase de caracteres. Los atacantes de fuerza bruta a menudo ejecutan conjeturas de hasta 10 caracteres, marque todas las minúsculas. Algunos agregan mayúsculas, pero eso lleva mucho más tiempo (agregando 26 combinaciones más diferentes por personaje), y la fuerza bruta usando números y símbolos es muy difícil porque eso agrega aún más entropía.

Si su contraseña contiene palabras en el diccionario, es mucho más fácil adivinar incluso si es una contraseña larga. Los atacantes generarán diferentes conjeturas aleatorias utilizando palabras del diccionario. Finalmente, si su contraseña es de 8 caracteres o menos, un atacante puede tener tablas de arco iris pregeneradas (tablas de hashes, estas son tablas de múltiples TB de tamaño). Verán si la contraseña cifrada que robaron coincide con un valor pregenerado. Por ejemplo, por $ 1000 puede comprar una tabla de arco iris que tiene la combinación de los 95 caracteres en un teclado de EE. UU. Con una longitud de 8. Pero generar una tabla de arco iris para una longitud de 9 (con 95 caracteres) es demasiado costoso ya que es una tecla exponencialmente más grande espacio. Por lo tanto, elija una longitud de contraseña mayor que 8.

Para darle una idea de qué tan grande es el espacio clave para la longitud 7-9:

  • Longitud 7 con 95 caracteres posibles por pos = 70,576,641,626,495 (19 horas para hacer cada suposición a 1 billón de suposiciones / segundo)
  • Longitud 8 con 95 caracteres posibles por pos = 6,704,780,954,517,12 (7 días para hacer cada conjetura a 1 billón de conjeturas / segundo)
  • Longitud 9 con 95 caracteres posibles por pos = 636,954,190,679,126,500 (20 años para hacer todas las suposiciones a 1 billón de conjeturas / segundo)

PD: El tiempo promedio para adivinar una contraseña es la mitad del espacio clave, por lo que “en promedio” tomaría la mitad del tiempo mencionado anteriormente, solo depende de la suerte.

PPS Hay defensas contra un ataque de la tabla del arco iris, pero requiere que el desarrollador de la aplicación implemente el almacenamiento de contraseñas con “sal”.

Related Content

Cómo eliminar el malware del navegador Taplika

¿Realmente tenemos una escasez de expertos en seguridad cibernética? ¿Cuál es el trabajo, en ciberseguridad, con el futuro más brillante?

¿Cómo alguien piratea juegos en una computadora?

¿Cómo se puede eliminar el virus de acceso directo de la computadora portátil?

¿Cuáles son las tendencias en la piratería de contraseñas?

Cada persona debe clasificar sus cuentas en niveles de importancia, en función de la posibilidad de que la cuenta se vea comprometida.

Por ejemplo, está la categoría de banca, la categoría de millas aéreas / puntos de hotel y otras categorías que tienen algún nivel de valor monetario. Luego está la categoría donde tiene almacenada la información de su tarjeta de crédito o algún otro tipo de Información de identificación personal. Y la categoría más importante, la (s) cuenta (s) de correo electrónico a través de las cuales se registran estas otras cuentas. Y luego tiene su categoría “No me importa” que incluiría sitios como el registro para leer el sitio del periódico local, o la suscripción de su revista, sitios que considera que no lo lastimarían si se rompe la contraseña.

Con suerte, estás considerando lo último. Para este último, es más importante que recuerdes la contraseña que la consideración de que alguien más pueda descubrirla. Por lo tanto, considere usar la misma contraseña o el mismo sistema en todas ellas. (El mismo sistema sería como usar la misma contraseña base pero agregando un “ESPN” si era espn.com, o “NYT” si fuera el New York Times).

Muchos expertos en seguridad informática le dirán que lo importante es que recuerde las contraseñas importantes. No desperdicies tus células cerebrales en cosas sin importancia.

Hace diez años escribí un blog sobre cómo generar contraseñas seguras que sean fáciles de recordar. Desafortunadamente, McAfee no lo guardó. Pero puede ver los comentarios de otras personas sobre el concepto dispersos en Internet si busca en ” 7ujmnbg “.

Espere, lo encontré en archive.org:

https://web.archive.org/web/20091120013909/http://www.avertlabs.com/research/blog/?p=47

Por favor lee eso. Le enseñará cómo tener contraseñas largas y seguras que también sean fáciles de recordar. Yo llamo al concepto “Contraseñas de patrón”. (Y recuerde, el uso de la tecla [shift] es lo más importante).

O, (ahora por la parte que paga mis facturas ya que ahora soy un empleado de Symantec / Norton),

¡Use un administrador de contraseñas como Norton ID Safe! Administrador de contraseñas – Norton Identity Safe

[EDITAR: se corrigió la URL anterior. Lo siento, no está hipervinculado.]

Tom Le

El sitio web funciona en un proceso estándar universal … para usted la seguridad de su cuenta no importa. Pero para el sitio web, la seguridad de su cuenta es muy importante. Las contraseñas complejas son obligatorias para todos y cada uno en el mundo cibernético

Tom Le

Aunque es posible que no tenga información confidencial en su cuenta que necesite mantener segura, los piratas informáticos pueden no estar detrás de su información. Es posible que intervengan con el fin de utilizar su cuenta como base para hacer más daño, enviar spam, estafas, malware o virus. Pueden “secuestrar” su cuenta para usarla con fines criminales o perjudiciales.

Si usa un administrador de contraseñas, como LastPass, no tendrá que recordar sus contraseñas. LastPass puede completar automáticamente sus contraseñas para cada cuenta o sitio web. Una vez configurado, es conveniente, seguro y no una carga.

Jerry Lucas

Yo simpatizo. Y es posible que tenga soporte: SoLongandNoThanks (PDF).
Podrías usar inicios de sesión federados con Facebook, Twitter, etc., si no te importa que Facebook rastree toda tu vida. O un proveedor de OpenID, que son aceptados por muchos sitios.
Pero, al menos, mantenga una contraseña de correo electrónico sólida, diferente de todas las chatarra. Es una puerta de entrada a todo lo demás, ya que muchos sitios usan una dirección de correo electrónico como ID de usuario y permiten restablecimientos de cuentas por correo electrónico. Además, si es demasiado débil, puede adivinarse: hay ataques de diccionario en curso, y luego las personas pueden usar su proveedor de correo electrónico para enviar spam que omitirá muchos filtros de correo porque su proveedor probablemente tenga una buena reputación (he visto esto) . Y de nuevo, si un atacante realmente lee su correo, puede encontrar viejos mensajes bancarios en línea u otros consejos para las organizaciones con las que trata, por lo que si esperan hasta que esté dormido y restablezcan todas sus contraseñas, podrían hacer que su vida sea un infierno y defraudarlo. La mayoría de sus ahorros.

Jimmy Kuo

Debido a que a menudo, la seguridad de otras personas depende de la suya.

Tom Le

More Interesting

¿Dónde puedo encontrar vulnerabilidades de WordPress?

Cómo recuperarse de un ataque cibernético

Cómo eliminar malware usando Norton antivirus

¿Cuáles son las mejores soluciones de seguridad física y de datos para computadoras portátiles?

¿A las corporaciones les gustan los productos antivirus actuales que usan? ¿Cuáles serían las características perfectas del software antivirus que las actuales no ofrecen?

¿Está mi computadora en riesgo de una infección de virus / malware?

¿De qué maneras se utilizará la Inteligencia artificial en la seguridad de Internet y la seguridad de los dispositivos (TV, teléfonos móviles, PC, etc.)?

¿Bootcamp le pide su contraseña de firmware?

¿Cómo puede Firefox OS eliminar archivos e instalar aplicaciones si es 100% JavaScript? ¿Hay algún tipo de servidor que interactúa con la interfaz de usuario que proporciona acceso a la raíz?

¿Cómo implemento la ciberseguridad en el aprendizaje automático activo?

Como estudiante de BCom (H), quiero cambiar a una carrera en Seguridad Cibernética. ¿Cuáles son mis perspectivas?

¿Cuál es el futuro del malware informático?

¿Por qué los controles de acceso obligatorios (MAC) de Linux se superponen a los controles de acceso discrecional (DAC) de Unix en lugar de reemplazarlos?

Tengo una computadora gratis, pero está llena de virus. ¿Cómo los elimino?

¿Deberíamos dejar de ejecutar servidores C en la red abierta?