El cambio constante puede ocasionar la creación de contraseñas pobres o facilmente predecibles, en esta entrada revisaremos brevemente como esta práctica generalizada en TI y los malos hábitos en seguridad de los usuarios pueden ser una terrible combinación.
Mediante el estudio de datos, investigadores de la UNC (Universidad del Norte de Carolina) identificaron técnicas comunes usadas por los usuarios titulares de cuentas de acceso al requerirles un cambio de contraseña. Una contraseña como "tarheels # 1", por ejemplo (sin incluir las comillas) con frecuencia se convirtió en "Tarheels # 1" después del primer cambio, "Tarheels # 1" en el segundo cambio y así sucesivamente. O podría ser cambiado a "tarheels # 11" en el primer cambio y "tarheels#111" en el segundo. Otra técnica común fue sustituir un dígito para que sea "tarheels # 2", "tarheels # 3", y así sucesivamente.
Lorraine Cranor CTO de la Comisión Federal de Comercio (FTC) comentó en la PasswordsCon 2016 en las Vegas lo siguiente "Los investigadores de la UNC llegaron a la conclusión que si la gente tiene que cambiar sus contraseñas cada 90 días, tienden a utilizar un patrón y hacer lo que llamamos una transformación. Toman sus viejas contraseñas las cambian de alguna manera, y crean una nueva "version" de las mismas.
Los investigadores utilizaron las transformaciones que descubrieron para desarrollar algoritmos que fueron capaces de predecir los cambios con gran precisión. Entonces simularon un "crackeo" real para verificar el desempeño craqueo para ver lo bien que se llevan a cabo. En ataques en línea donde los cibercriminales tratan de hacer la mayor cantidad de conjeturas posibles antes de que una red objetivo los bloquee el algoritmo "crackeo" el 17 por ciento de las cuentas en menos de cinco intentos. En ataques sin conexión realizados sobre los valores hash recuperados utilizando super computadoras de alta velocidad el 41 por ciento de las contraseñas modificadas fueron descubiertas en tres segundos.
Es importante considerar el método para la creación de nuevas contraseñas, en medida de lo posible el área de TI debe generarlas y entregarlas a los usuarios cuando un cambio sea requerido, pero más importante es la educación a los usuarios en el uso de las mejores prácticas en seguridad de la información.
Si quieres conocer a fondo el estudio realizado puedes dar click aquí
SI DESEAS EVALUAR GRATUITAMENTE TU ESTRATEGIA DE CIBERSEGURIDAD CON UN EXPERTO PUEDES GENERAR UNA CITA EN EL SIGUIENTE VÍNCULO.
O PUEDES CONOCER COMO PIENSA UN ATACANTE EN EL SIGUIENTE ENLACE:
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Bruce Schneier/ Lorraine Cranor - 2016
