Así es como debes crear tus contraseñas, según un hacker profesional

Iniciado por Machacador, 1 Octubre 2019, 14:13 PM

0 Miembros y 1 Visitante están viendo este tema.

Machacador

Así es como debes crear tus contraseñas, según un hacker profesional


Llevamos toda la vida usando contraseñas, pero los ciberdelincuentes siempre van un paso por delante de nosotros. Aunque utilicemos contraseñas robustas los ordenadores cada vez tienen más potencia de proceso, más núcleos y más procesamiento en paralelo, y les resulta más sencillo romper una contraseña por fuerza bruta, probando todas las combinaciones. ¿Cómo elegir la mejor contraseña? Business Insider le ha preguntado a Etay Maor, un asesor ejecutivo de seguridad en IBM.

Etay Maor no es un experto en seguridad cualquiera. Se dedica a sumergirse en la Dark Web para estudiar las tácticas cibercriminales y así enseñar a los clientes de IBM Security cómo funcionan los hackers, para que puedan protegerse mejor.

Este experto asegura que las contraseñas de 8 o 10 caracteres, aunque sean completamente aleatorias, pueden ser rotas con facilidad por los algoritmos y los potentes ordenadores que se usan hoy en día. Aconseja olvidarse de las contraseñas y adoptar las contrafrases.

En realidad, el concepto es muy sencillo. Se trata, simplemente, de elegir como contraseña una frase larga. Algo que no sea muy reconocible, y si tiene conceptos aleatorios, mejor. No elijas: "Buenos días, parece que hoy va a llover", pero si puedes usar: "me apetece sentarme en el sillón rojo y comerme una sopa de frambuesa con 3 refrescos rosa".

Para un algoritmo hacker, que no entiende el sentido de la frase, será una cadena larga de letras y números que le costará años descrifrar, incluso con mucha potencia de proceso. Y para los usuarios es más fácil de recordar que una secuencia aleatoria de letras y números.

Este truco es válido hasta que los hackers comiencen a usar inteligencia artificial, y entonces sí podrán encontrar el sentido a las contrafrases...

Etay Maor aconseja instalar por, encima de todo, un gestor de contraseñas que genere claves robustas y aleatorias, como LastPass o 1Password, y elegir una contraseña distinta en cada servicio de Internet que utilicemos.

Son consejos fáciles de seguir, que merece la pena aplicar si nos preocupa nuestra seguridad

https://computerhoy.com/noticias/tecnologia/como-crear-contrasenas-hacker-profesional-476675?utm_content=buffer18daa&utm_medium=Social&utm_source=Facebook&utm_campaign=CH&fbclid=IwAR1MOCUSAC1PHoI6O26vU_4tlp3yDmHqjHYB5L9TWfbxkMsbtcZpmjoXUaI

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

#!drvy

Eso es una gilipollez. Aplicando un algoritmo que pruebe palabras en vez de letras sería como reducir esta frase:

me apetece sentarme en el sillón rojo y comerme una sopa de frambuesa con 3 refrescos rosa

A esta contraseña

maselsrycusdfc3rr

A parte de lo jodidamente incomodo que sería escribirla pues imaginaos una persona iniciando sesión en cualquier sistema que no tiene un teclado en si (pensad en XBOX, Play4 etc).. absurdo. Y no hablemos de los servicios que todavía limitan la longitud de la contraseña a 8 o 16 caracteres... absurdo!


Saludos

Serapis

Cita de: #!drvy en  1 Octubre 2019, 16:34 PM
Eso es una gilipollez. Aplicando un algoritmo que pruebe palabras en vez de letras sería como reducir esta frase:

"me apetece sentarme en el sillón rojo y comerme una sopa de frambuesa con 3 refrescos rosa"
A esta contraseña
maselsrycusdfc3rr
La simplificación no es correcta...

Tomemos la 'f' de 'frambuesa'... no existe una única palabra que empice con f (frambuesa), si no ...infinidad...

Puede ser: fresa, frase, fresco, f456vb, folio, foliculo, Francia, franchute, fruta, fracaso, filantropo, 'falifante', 'Fumanchu', filologo, fructifero, fragancia, 'forsiemprejamas' ...

..y lo mismo para cada palabra.
Luego la explosión de combinaciones resulta exponencial. En el cálculo de las combinaciones cada letras, debería ser remplazado por el número de posibles palabras distintas que se puedna formar (que son infiinitas, pero limitadas en la práctica si damos un largo máximo de palabra). No son solo las combinaciones de las letras sueltas. Para que fuera como asumes, cada letra debiera tener una transcripción única (y conocida) desde plabara (como el estúpido: Alfa, Tango, Charly, Bravo... --> A,T,C,B...)

Así para 3 letras (pongamos limitado el alfabeto posible a A-Z, sería 26*26*26, pero si para la A hubiera (pongamos de ejemplo), 20.000 palabras, para la B: 18.000 y para la C: 32.000, el resutado sería (26*20000) * (26*18000)*(26*32000), que claramente es un numero muy superio a 26 al cubo...



Tampoco concuerdo en el resto... ya que es simplemente un problema del método de entrada de datos... algo en principio ajeno a si el método es o no adecuado. Si el método de entrada de datos fuera por voz... sería más fácil y rápido pronunciar aquella frase que escribir una palabra de 10 caracteres (como esa última 'caracteres').

#!drvy

Tienes razón, añade complejidad pero también se pueden aplicar reglas para reducirla siguiendo reglas de gramática como por ejemplo que es muy probable que después de un "en" venga un "el" o "la", por tanto ya no hay un factor "tan" aleatorio pues estaríamos frente a palabras definidas por tanto ya no tienes porque hacer fuerza bruta pura y dura si no que puedes aplicar reglas de predicción que podrían reducir enormemente las posibles combinaciones.

Yo creo que si que importa la entrada de datos para que un método sea efectivo. Si gran parte de los servicios te restringen a utilizar una contraseña de longitud limitada, tu "frase" se verá reducida proporcionalmente. Por ejemplo, según puedo leer, Outlook tiene una limitación de 16 caracteres, ¿que son eso¿  ¿3-4 palabras? De nada sirve un método como este, si no se utiliza de forma adecuada. Tampoco conozco muchas interfaces que te permitan poner la contraseña por voz, casi que rompe la idea de una contraseña el hecho de que la digas en voz alta.. pero ahí tendrías otros problemas que pueden incluso hacerte perder el tiempo aun más como la interpretación de un numero (tres o 3?), acentos, comas etc.. Y ya ni hablemos de aquellos servicios que te piden si o si un símbolo, un numero, una letra minúscula, una mayúscula.. etc.

Saludos

@XSStringManolo

A mi me parece una forma malísima de generar contraseñas. Como dice Drvy a base de diccionarios acabaría saliendo. Hay equipos y redes que prueban millones de combinaciones distintas cada segundo.
Mira la hora y a partir de ella generas una serie:
20:45

8045


Le metes la hora en letras le das la vuelta intercalando y listo:
OchoCuarentaCinco

ocniCatnerauCohcO

o8c0n4i5C8a0t4n5e8r0a4u5C8o0h4c5

Si la quieres de 8 caracteres pues pillas los 8 primeros xD
o8c0n4i5


Machacador

Yo prefiero que el buen Google me sugiera un contraseña y listo... luego la anoto en un papel porque son muy difíciles de recordar y siempre me las pone del máximo de caracteres permitidos... letras mayúsculas y minúsculas, números y símbolos todo licuado... grrrrrrrrr...

:rolleyes: :o :rolleyes:

Saludos.
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

WHK

Citarsegún un hacker profesional

CitarSe dedica a sumergirse en la Dark Web para estudiar las tácticas cibercriminales y así enseñar a los clientes de IBM Security cómo funcionan los hackers, para que puedan protegerse mejor

Típica persona que no sabe de hacking y dice... voy a ver como hackean otros y a hacer consultorías a otras empresas para decirles como protegerse. Por lo que veo es una persona con cero experiencia en el mundo del hacking y probablemente jamás a probado con sus propias manos lo que realmente significa sacar contraseñas con algoritmos complejos o por simple fuerza bruta.

Mejor hubiera sido haber publicado un estudio llevando a la práctica el rompimiento de algunas credenciales con sus tiempos v/s esfuerzo, utilización de recursos, dar estadísticas de riesgos sobre el almacenamiento de claves locales, etc y ahi si llegar a una conclusión, pero no, solo le bastó con meterse a la deep web a ver como los hackers hackean y ya, ahora puede vender sus servicios como consultor.

Además, no se hace extraño que ni si quiera se haya publicado el estudio que hizo para llegar a esas conclusiones? y probablemente jamás se vean ya que se han aprovechado que la "dark web" es justamente donde no puedes llegar facilmente ni encontrar mucha información.

También es extraño que el sitio web de la fuente real no tiene caja para dejar comentarios, están totalmente censurados.



Claramente es mucho mas facil crear un algoritmo para romper una frase camuflada a una contraseña aleatoria de 9 caracteres o llaves rsa.

Yo opino que una protección segura es utilizar por ejemplo llaves RSA, validar huellas digitales sha256, etc. Tener guardada tus contraseñas en un servicio de almacenameinto de contraseñas no te dara mayor seguridad, solo comodidad. Me huele a una noticia de publicidad masiva de empresas como logmein (empresa de lastpass).

MinusFour

Todo esto me imagino porque gira en cuestión a los hashes. Para hacer un ataque de diccionario tan complejo como ese una persona tendría que saber que la contraseña está basado en una oración (y en un determinado lenguaje). Lo común son las rainbow tables de X charset con longitud Y y con salt Z. Me imagino que habrá rainbow tables que se generen con NLP pero yo creo que estos deben ser ordenes de magnitud más lentos que los diccionarios que se escupen normalmente (de GPUs, FPGAs, etc). Tampoco creo que sean muy comunes.

Es una pregunta compleja la verdad. A simple vista muchas combinaciones se pierden por palabras. Porque no hay una palabra por cada combinación de letras. Tiene sus ventajas y desventajas.

Lo mejor sería que las personas que están almacenando las contraseñas se deshagan de hashes que pueden ser vulnerables (hoy en día debería ser regla usar KDFs para almacenar las contraseñas), solicitar a sus usuarios nuevas contraseñas en caso de que tengan que remplazar los hashes y ofrecer autenticación de dos factores. Como usuario, nunca usar la misma contraseña para otros sitios. Si te comprometen la contraseña, no la pueden usar en ningún otro lado y si el proveedor del servicio fue lo suficientemente listo para proteger tu cuenta usando otros factores no pierdes nada más que esa contraseña.

Las contraseñas de texto creo que eventualmente van a morir y vamos a tener que buscarnos otros métodos de aunteticación.

Shell Root

jejeje yo hasheo mi password y me memorizo el hash asi esta doblemente hasheado  :silbar:
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

engel lex

Cita de: Shell Root en  1 Octubre 2019, 22:09 PM
jejeje yo hasheo mi password y me memorizo el hash asi esta doblemente hasheado  :silbar:

hasheas pero sacas binario a base64 en lugar de hexadecimal
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.