Contraseñas vulnerables

Antes, "atrapa el ratón"
Avatar de Usuario
ISIS
colegial
colegial
Mensajes: 104
Registrado: 10 Mar 2004 00:00
Ubicación: Alicante

Contraseñas vulnerables

Mensajepor ISIS » 25 Jun 2005 03:16

CONTRASEÑAS VULNERABLES


Quizás no lo sepas, pero tus contraseñas de correo y otras que empleas en Internet podrían ser vulnerables a un ataque de los denominados de “fuerza bruta” y que no consisten en otra cosa que la aplicación de una amplia potencia de cálculo para explorar y descifrar una de estas identidades que usamos en la Web.
La efectividad de estos mecanismos para descifrar se ha sofisticado con el uso de diccionarios que restringen los parámetros de búsqueda y que están disponibles en la Red de redes en diversos idiomas y temas. Esto significa el intento de descifrar una clave o “password” mediante palabras, números y hasta frases más usadas para establecer este tipo de identificaciones.
Después de los diccionarios, sigue la búsqueda incrementa, es decir, el sondeo de combinaciones aleatorias de números y letras, mezclados o no.
En conjunto letras y números pueden generar una cantidad de claves “casi infinito”. Pero esto lo restringen ciertos parámetros, los cuales facilitarían el descifrado de claves.

ESTADISTICAS

Un ensayo estadístico “cercano al criptoanálisis” elaborado por “Passwords Sin Fronteras”, basado en el análisis de “decenas de miles” de claves descifradas, permite establecer lo que llama criterios universales” acerca de cómo es que nosotros construimos nuestras claves de acceso.
Los datos estadísticos se basan en 86.865 passwords tipo UNIX descifrados. La mayoría de ellos no son de administradores de redes, pero sí de usuarios, como nosotros.
De las claves descifradas, el 66.5 % (57.753) fue del tipo alfabético; el 28.3 % (24.601) numérico, y el 5.2 % (4.511) alfanumérica, es decir que combina letras y números. De acuerdo con el estudio, los passwords numéricos son más vulnerables a un ataque de fuerza bruta.
Por el número de caracteres, el mayor número de claves descifradas correspondió a las integradas por 6 dígitos (58,25 % del total, es decir 50.600 claves), le siguieron los pass de 8 dígitos (22,54% -19.576 claves), de 7 (19,08% -16.573) y en mucho menor medida los de 4 caracteres (0.06% -54 claves), de 5 (0,05% -42) de 3 (0,01% -12), de 2 (0,01%) y de 1 dígito (0,00 –1).

CLAVES ALFABETICAS

Respecto a las claves alfabéticas (el 66% de las descifradas –57.753), la inmensa mayoría fue de entre 6 y 8 caracteres (99,88% -57.643). Se encontró que 6.415 claves correspondían a nombres propios de hombre y de mujer. Un diccionario de nombres propios bastaría para descifrar los passwords de ese tipo.
Se determinó también que el 99,73% de las calves alfabéticas eran todas en minúsculas, con alguna mayúscula el 0,29% (164 de las 165 claves descifradas de este tipo la primera letra correspondió a la mayúscula) y todas en mayúsculas el 0,21%. El estudio asegura que es infrecuente o difícil de descifrar contraseñas con mayúsculas aisladas en medio de la clave.

CLAVES NUMERICAS

De los paswords numéricos descifrados (24.601 –28,3%), el 91,64% era de 6 caracteres, lo que significa que la inmensa mayoría de quienes utilizan los números para sus claves estarían utilizando la formula de las fechas, por nacimiento, matrimonio, etc. Les siguieron las de 8 caracteres (4,96%) las de 7 (3,22%), las de 4 (0,13%) las de 5 (0,03%), las de 3 (0,02%) y las de 2 (0,00% -un solo caso).
El estudio concluye con un “ranking” de popularidad de las calves numéricas:

Password Nº de usuarios Porcentaje
123456 2543 10,34
111111 296 1,20
12345678 282 1,15
666666 179 0,73
000000 116 0,47
555555 109 0,44
654321 108 0,44
222222 101 0,41
1234567 89 0,36
777777 74 0,30

Conforme al estudio, “aunque no aparezcan en los primeros puestos, hay un muy alto numero de contraseñas de 6 cifras que responden al patrón fecha. En ellas incluimos las de DDMMAA y las de MMDDAA; donde DD es el día, MM el mes y AA, el año de nacimiento o cualquier otra fecha de interés. Sospechoso sería que coincidieran muchas”.
Las que responden al formato DDMMAA son 10.830 (44 %) y las que responden al formato MMDDAA son 9.994 (41 %).

CLAVES ALFANUMERICAS AL AZAR

Según el estudio, las claves que combinan números y letras, representan el conjunto más problemático para el descifrado y del que menor cantidad se logró desentrañar: 5.2 %, es decir 4.511 de 86.865.
De los pass descifrados, la mayor cantidad, como en los otros dos casos, fue de 6 caracteres (56,91% de las 4.511 descifradas):

Dígitos Descifrados Porcentaje
8 CARACTERES 1.159 25,69%
7 CARACTERES 784 17,38%
6 CARACTERES 2.567 56,91%
5 CARACTERES 0 0,00%
4 CARACTERES 1 0,02%
3 CARACTERES 0 0,00%
2 CARACTERES 0 0,00%
1 CARACTERES 0 0,00%

De los 4.511 passwords descifrados, tenemos que 4.415 (97,87%) son números y letras, mientras que en el resto el guión abajo (_) apareció en 87 contraseñas (1,93%)
De las contraseñas que contienen 3 números (390 de las descifradas), aproximadamente el 30% (131 de ellas) corresponde con la secuencia "123".

El estudio estadístico establece dos subconjuntos en este tipo de claves alfanuméricas: Uno, el que corresponde con grupos de números y letras no intercalados, es decir, aquellos que inician y finalizan con solo números.

PASSWORDS TOTALES: 4415

NUMEROS + LETRAS 361 (8,17%)
LETRAS + NUMEROS 3967 (89,85%)

Entre ambas suponen prácticamente el 98% de este tipo de claves, por lo cual podría considerarse que las claves que intercalan números y letras son difícilmente descifrables (“tanto porque son escasas como porque se craquean peor”), de acuerdo con la investigación.


PASSWORDS TOTALES: 4415

NUMEROS + LETRAS 361 8,17%
1 NUMERO + LETRAS 48 1,08%
2 NUMEROS + LETRAS 39 0,83%
3 NUMEROS + LETRAS 39 0,83%
4 NUMEROS + LETRAS 146 3,30%
5 NUMEROS + LETRAS 68 1,54%

LETRAS + NUMEROS 3967 89,85%
LETRAS + 1 NUMERO 1846 41,81%
LETRAS + 2 NUMEROS 1363 30,87%
LETRAS + 3 NUMEROS 326 7,38%
LETRAS + 4 NUMEROS 365 8,26%
LETRAS + 5 NUMEROS 35 0,79%
LETRAS + 6 NUMEROS 1 0,03%

CONCLUSIONES
Las conclusiones de la investigación no tienen pierde y se las reproduzco:
1)En las contraseñas alfabéticas, las más numerosas son nombres propios de hombre y de mujer;
2)En las claves numéricas las secuencias y las repeticiones son las combinaciones mas frecuentes. Para el caso de tener información adicional sobre el propietario, las contraseñas tipo fecha suponen casi el 50% de los casos de las claves numéricas;
3) Para las claves alfanuméricas, el procedimiento más habitual es añadir uno o dos números al final de una palabra.
Conforme a esos resultados, será sencillo evaluar cómo estamos haciendo cada uno de nosotros nuestras contraseñas y concluir que:
Debiéramos elaborarlas con números y letras intercaladas
Utilizar mayúsculas y minúsculas
Que las mayúsculas estén intercaladas y de preferencia que no sean los primeros caracteres.
Evitar las de 6 dígitos y si se nos permite que sean de al menos 10 caracteres
[stream]http://galeon.com/amistadisis/Isis/Musicavarios/Serrat/lamujerque.mid[/stream]
Avatar de Usuario
Punto
Doctorado
Doctorado
Mensajes: 2079
Registrado: 02 Abr 2005 08:48
Ubicación: Cadiz

Mensajepor Punto » 25 Jun 2005 08:01

Messire Isis:
He leido atentamente el estudio realizado -o presentado al menos- por usted en este apartado.
Me he preparado a fondo las posibles convinaciones y sus recomendaciones de aleación.
He comprendido eso de intercalar letras, números, mayusculas y minusculas como base fundamental para evitar el "crakeo" (no sé si se dice así) y he llegado a la siguiente conclusión:
a) Mi clave es muy sencillita, y aún así, como deje de ponerla tres dias seguido se me olvida b) como tenga que convinar las claves tal como me recomienda, mejor vuelvo a las cartas tradicionales que el cartero es amigo mio y ese no lee nada c) Si hay alguien que quiera leer mi correo es que está ............. realmente aburrio.
Quedo suyo afectisimo
Punto
________________________
Verba volant, scripta manent
Clix
Sabio
Sabio
Mensajes: 3698
Registrado: 20 Ene 2004 00:00

Mensajepor Clix » 25 Jun 2005 14:55

*
Última edición por Clix el 13 May 2007 15:03, editado 1 vez en total.
Vive y deja vivir

Imagen
Avatar de Usuario
ISIS
colegial
colegial
Mensajes: 104
Registrado: 10 Mar 2004 00:00
Ubicación: Alicante

Mensajepor ISIS » 26 Jun 2005 10:44

Claro esta que la explicación de las contraseñas es para las personas que puedan tener problemas, o los hayan tenido, como yo. Y lo que tengo que hacer es apuntarmelas todas en una libreta. Tengo muchisimas cuentas y despues de los que me dijo Sastre el otro día, todavia quiero tener mas precauciones. Dice que hay una pagina donde poniendo el correo de alguien te sale la contraseña... por eso, cada comunidad una cuenta que nadie conoce.

Claro que nadie tiene porque hacer uso de esta información, pero si habrá a quien le interese...

Volver a “Tecnologías, Informática, robótica, Ciencia e Investigación, Manualidades, Bricolaje”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados