Las contraseñas parecen ser la versión moderna de la blusa medieval..

Parecen existir como un irritante para la vida en línea de hoy. ¿Quieres acceder a tu PC? Contraseña por favor. ¿Quieres añadir un estado de Facebook? ¡Contraseña! ¿Quieres comprobar tu cuenta bancaria online? Contraseña necesaria!

Entonces, ¿cómo creas los buenos? De hecho, ¿cuáles son los buenos? ¿Cómo los recuerdas? ¿Cómo se puede reducir la irritación??

Para autenticarse en los sistemas que usa todos los días, para demostrarles que usted es quien dice ser, use una contraseña. Esta contraseña, en teoría, es conocida solo por usted y el sistema al que intenta acceder, ya sea Facebook, Twitter, su banco, su correo electrónico, su blog o cualquier otra cosa. Es un secreto para no ser revelado a terceros..

Hay otra pieza esencial para el rompecabezas de la autenticación, su nombre de usuario, pero esta es generalmente su dirección de correo electrónico o su nombre en alguna forma concatenada, y es fácilmente detectable. Su contraseña es, por lo tanto, el "sésamo abierto" que revela todo sobre usted. ¿Cómo puede asegurarse de que su privacidad permanezca intacta y de que el secreto persista??

Abordemos la pregunta desde el punto de vista de un hacker de sombrero negro que quiere hacerse pasar por un sistema. Para aumentar las apuestas, supongamos que el sistema es su banco y el pirata informático desea probar su límite de crédito. ¿Cómo puede obtener su contraseña??

Mira y aprende

La primera forma es la más simple: te observa a medida que ingresas tu contraseña. De esa manera no importa qué tan fuerte o débil sea tu contraseña; El hacker solo te observa entrar. Asumiré que serías consciente de que alguien te está vigilando por encima del hombro, por lo que la pregunta es: ¿de qué otra manera un pirata informático te puede "observar"?

En marzo pasado, fue pirateado RSA (productor de los sistemas SecurID utilizados por las corporaciones y el Departamento de Defensa de los Estados Unidos). Alguien logró acceder a los sistemas y redes internas y robar secretos relacionados con la clave de autenticación de dos factores de SecurID.

Un par de meses más tarde, intentaron atacar a Lockheed Martin, el contratista de defensa que los usaba. ¿Cómo se hizo esto? Simple - fue un ataque de phishing.

Se envió un correo electrónico que pretende ser sobre los planes de reclutamiento de 2011 y contiene una hoja de cálculo Excel a varios miembros del personal de bajo perfil en RSA, aparentemente de una agencia de reclutamiento. La hoja de cálculo contenía un objeto Adobe Flash incrustado que a su vez contenía una vulnerabilidad de día cero. Una vez que se abrió la hoja de cálculo, este malware instaló una puerta trasera en la máquina, lo que le dio a los atacantes acceso a la PC y la red..

En ese punto todas las apuestas están apagadas. El atacante podría instalar un keylogger y hacer un seguimiento de lo que escribe exactamente en las pantallas de inicio de sesión, con una contraseña. Peor aún, podrían descargar los archivos de contraseña del sistema (los que usa el Administrador de cuentas del sistema) y luego descifrarlos con un programa como Ophcrack, que usa técnicas como las tablas arco iris para revertir los datos de inicio de sesión con hash. Ahí van todas tus contraseñas.

De hecho, ese último escenario aborda todo el tema de descifrar contraseñas. Hay dos etapas: adivinar la contraseña usando algún algoritmo, generalmente de fuerza bruta al intentar cada permutación, y luego validar la contraseña contra el sistema que está siendo pirateado..

El problema con la validación de contraseñas es que muchos sistemas tienen protecciones integradas. En general, solo obtiene tantos intentos de intentar una contraseña antes de que el sistema bloquee la cuenta que se está intentando. A veces, el sistema también retrasará deliberadamente el restablecimiento de la pantalla de inicio de sesión por unos segundos para hacer que el intento de contraseñas sea extremadamente lento.

Tenga en cuenta que una máquina Windows 7 independiente tiene el bloqueo de cuenta desactivado de forma predeterminada, mientras que una PC en una red corporativa puede tenerlo habilitado. Si el sistema está incorporado en un archivo, digamos que la víctima está usando un administrador de contraseñas y el pirata informático ha logrado capturar el archivo de contraseña, el trabajo del pirata informático se hace mucho más fácil.

En esencia, las salvaguardas en línea (número limitado de intentos de contraseña, demora entre intentos) ya no están en juego y el pirata informático tiene la posibilidad de probar tantas contraseñas como quiera lo más rápido posible. Aquí es donde la fuerza de la contraseña entra en juego.

Fuerza en números

Cuando accedemos a un nuevo recurso para el cual tenemos que crear una contraseña, generalmente se nos dan algunas pautas para crear una contraseña segura y no se recomienda el uso de las débiles. Las pautas generalmente incluyen hacer contraseñas más largas que un mínimo definido (por ejemplo, ocho caracteres), no usar palabras normales, usar mayúsculas y minúsculas, y usar números y símbolos de puntuación.

Con suerte, la pantalla donde ingrese su nueva contraseña tendrá algún tipo de señal visual para mostrar qué tan buena es, como una barra de progreso de color rojo (mala) a verde (buena). Los peores sistemas son aquellos que limitan su contraseña a un recuento bajo de caracteres, restringen los caracteres que se usan solo a letras minúsculas y dígitos, y así sucesivamente. Tales pautas producirán automáticamente contraseñas débiles.

La fuerza de una contraseña se mide por su entropía, como un número de bits. Cuanto mayor sea el número de bits, mayor será la entropía y más difícil será descifrar la contraseña.

La entropía es un concepto de la teoría de la información y es una medida de la previsibilidad de un mensaje. Por ejemplo, una serie de lanzamientos de una moneda justa es impredecible (no podemos decir lo que viene a continuación) y, por lo tanto, tiene la máxima entropía. El texto en inglés, este artículo, por ejemplo, es bastante predecible ya que podemos hacer juicios sobre lo que vendrá a continuación. La letra E aparece mucho más a menudo que Q, si hay una Q, es probable que el siguiente carácter sea U, y así sucesivamente.

Se estima que el texto en inglés tiene una entropía de entre uno y 1,5 bits por carácter (8 bits). En otro sentido, la entropía es una medida de cuán comprimible es un mensaje: la cantidad de pelusas que podemos descartar al comprimir un mensaje y aún poder reconstituir el mensaje original en cualquier momento. Si lo desea, el mensaje comprimido contiene solo el contenido de información del mensaje..

Todos hemos comprimido un archivo de texto en un archivo zip para obtener una compresión del 70-80% o más; Eso es solo una expresión de la entropía del texto..