Skip to main content

PORQUE_EL_CAMBIO_DE_CONTRASENAS.jpgEl cambio constante puede ocasionar la creación de contraseñas pobres o facilmente predecibles, en esta entrada revisaremos brevemente como esta práctica generalizada en TI y los malos hábitos en seguridad de los usuarios pueden ser una terrible combinación.

Mediante el estudio de datos, investigadores de la UNC (Universidad del Norte de Carolina) identificaron técnicas comunes usadas por los usuarios titulares de cuentas de acceso al requerirles un cambio de contraseña. Una contraseña como "tarheels # 1", por ejemplo (sin incluir las comillas) con frecuencia se convirtió en "Tarheels # 1" después del primer cambio, "Tarheels # 1" en el segundo cambio y así sucesivamente. O podría ser cambiado a "tarheels # 11" en el primer cambio y "tarheels#111" en el segundo. Otra técnica común fue sustituir un dígito para que sea "tarheels # 2", "tarheels # 3", y así sucesivamente.

Lorraine Cranor CTO  de la  Comisión Federal de Comercio (FTC) comentó en la PasswordsCon 2016 en las Vegas lo siguiente "Los investigadores de la UNC llegaron a la conclusión que si la gente tiene que cambiar sus contraseñas cada 90 días, tienden a utilizar un patrón y hacer lo que llamamos una transformación. Toman sus viejas contraseñas las cambian de alguna manera, y  crean una nueva "version" de las mismas.

Los investigadores utilizaron las transformaciones que descubrieron para desarrollar algoritmos que fueron capaces de predecir los cambios con gran precisión. Entonces simularon un "crackeo" real para verificar el desempeño craqueo para ver lo bien que se llevan a cabo. En ataques en línea donde los cibercriminales tratan de hacer la mayor cantidad de conjeturas posibles antes de que una red objetivo los bloquee el algoritmo "crackeo" el 17 por ciento de las cuentas en menos de cinco intentos. En ataques sin conexión realizados sobre los valores hash recuperados utilizando  super computadoras de alta velocidad el 41 por ciento de las contraseñas modificadas fueron descubiertas en tres segundos.

Es importante considerar el método para la creación de nuevas contraseñas, en medida de lo posible el área de TI debe generarlas y entregarlas a los usuarios cuando un cambio sea requerido, pero más importante es la educación a los usuarios en el uso de las mejores prácticas en seguridad de la información.

Si quieres conocer a fondo el estudio realizado puedes dar click aquí

 

SI DESEAS EVALUAR GRATUITAMENTE TU ESTRATEGIA DE CIBERSEGURIDAD CON UN EXPERTO  PUEDES GENERAR UNA CITA EN EL SIGUIENTE VÍNCULO.

¡AGENDAR!

 

O PUEDES CONOCER COMO PIENSA UN ATACANTE EN EL SIGUIENTE ENLACE: 

Nuevo llamado a la acción

Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com  

 

*Bruce Schneier/ Lorraine Cranor - 2016

Grupo Smartekh
escrito porGrupo Smartekh
20/09/16 17:09
Ciberseguridad estratégica para líderes que quieren crecer sin miedo. En este espacio compartimos ideas, aprendizajes y alertas que importan. Desde hacks reales hasta errores evitables, todo explicado en lenguaje claro y con enfoque de negocio. Somos un equipo apasionado por hacer que la ciberseguridad no solo sea técnica, sino también útil, humana y accionable. Aquí no solo hablamos de firewalls y vulnerabilidades: hablamos de decisiones inteligentes, riesgos bajos y estrategias que permiten a las empresas mexicanas avanzar con confianza.

Comentarios