Los filtros antiusuario de los passwords

Escrito el , visto 9157 veces Ver usuariopor

Ya conocemos la famosa tira de xkcd con uno de los tantos métodos para que tu password no sea fácil para algún hacker o script kiddie, pero aun así muchos sitios web, principalmente de instituciones "serias" como los bancos, requiere passwords cada vez más difíciles de resolver... para los humanos

Vean este ejemplo:



Genial ¿no?



8 caracteres mínimo, eso no está tan mal, uno podría decir que es una buena medida, pero ¿Qué significa? Básicamente que el sitio en cuestión no tiene protección alguna contra ataques de fuerza bruta, en vez de bloquear ante X intentos permite que alguien haga varios miles de millones de intentos hasta dar con el password sea utilizando diccionarios o todos los malditos caracteres del mundo

¡Por dió! Con un simple bloqueo por intentos jamás podrían resolver una cadena de 4 números (apenas 10000 combinaciones), si bloqueamos a los tres intentos por una hora el hacker en cuestión necesitaría un mínimo de cuatro meses y medio, y eso que a nadie se le ocurrió chequear el IP y bloqueárselo al cuerno.

A todo esto, la mayoría de los bancos tienen un sistema de pin de cuatro dígitos para entrar a la cuenta (no para transacciones) y te bloquean al instante si cometes más de tres intentos fallidos, para qué limitar el tamaño de password si ya hay otros filtros? O más bien, por qué ser tan específicos en el tamaño, este dice 8 pero me he encontrado con algunos que requerían 11 caracteres como mínimo.

Al menos una letra, esto implica que no puedo usar ninguna de las 100000000 posibilidades numéricas porque los ataques de fuerza bruta siguen habilitados :D

Al menos un número, esto amplía cada casillero a más de 34 caracteres lo que no es para nada malo, pero también te obliga a tener un número, que seguro reduce el nivel de seguridad porque nadie duda que usarás alguno conocido, como tu año o algo así.

Al menos un símbolo, este es el requerimiento más estúpido del universo, obliga al usuario a acordarse de algo que no es natural al humano.

Que no tenga tu nombre de usuario es lógico hasta para los más básicos, pero ¿Y por qué no? Podría tener usuario Fabio y password FabioEsUnNaboQueEscribeUnBlog56#aa y nadie podría jamás descular ese password. Es más, el identificar que el usuario está usando el nombre como parte de una cadena de texto no ayuda en nada, hasta lo hace más inseguro porque implica que hay una tarea de validación antes de crear un hash, pero bueh, tema técnico aparte.

El siguiente, que no tenga letras consecutivas, es por lejos de los más perjudiciales para el humano que podemos encontrar, es muy útil, en cambio, para un motor de fuerza bruta ya que es una instrucción que le reduce una enorme cantidad de casos evitando dígitos repetidos, varios millones menos de intentos.

El que le sigue, sin repetir caracteres, es tanto o peor que el anterior, reduce las posibilidades tanto que un ataque de fuerza bruta es totalmente factible sin necesidad de diccionario.

El último caso es genial porque muchos creyeron en su momento que era la solución a los problemas de "siempre el mismo password", bastaba con no dejarle poner justo el anterior pero tiraron un número al aire, diez, para sentirse más seguros. Así la gente inventó los passwords: pepe1, pepe2, pepe3, pepe4, muchos ataques podrían empezar con lo obvio+numeración y el acierto será mucho más rápido.

Como ya hemos discutido más de una vez, estas restricciones que, en teoría, buscan frenar ataques terminan creando confusión y errores más groseros en el usuario, es más probable que termine perdiendo el password u olvidándolo. Hace poco otro me exigía que una letra fuese mayúsculas ¿Por qué puta mierda querría yo hacer eso? ¿Qué nivel de seguridad extra me da olvidarme la clave o donde mierda usé una mayúscula?

Para nada, termina obligando al usuario a caer en sistemas de "recupero" de contraseñas que son atajables por un atacante que podría estar infiltrando, por ejemplo, tu correo y así obteniendo acceso, o simplemente el tedio sea enorme para que después, como ya pasó com MUCHOS casos, que tu pass sea encontrado por cualquiera.

Se acuerdan de mi caso con Netflix? bueno, la culpa ¿Es siempre del usuario?

Por Fabio Baccaglioni

Comentarios

  1. Tal cual, con tantas restricciones parecen estar dando pistas al kaker para que refine su motor de fuerza bruta. Que lo hagan los bancos es una boludéz, pero que lo hagan los sitios de email y servicios web ya es demasiado, atrasan como 10 años!

    Citar »
  2. A mi me saca de quicio el sistema de tarjeta naranja, te limita el largo de la contraseña a 10 o 12 caracteres (no recuerdo bien el numero ahora), me encantaría saber en qué estaban pensando cuando se les ocurrió esa limitación.
    Después está Telecom, que te obliga a utilizar un número como contraseña.
    Son de terror algunos...

    Citar »
  3. Ricardo dijo:
    A mi me saca de quicio el sistema de tarjeta naranja, te limita el largo de la contraseña a 10 o 12 caracteres (no recuerdo bien el numero ahora), me encantaría saber en qué estaban pensando cuando se les ocurrió esa limitación.
    Después está Telecom, que te obliga a utilizar un número como contraseña.
    Son de terror algunos...


    tipo un tope máximo??? eso es enfermizo es un "no quiero que tengas un buen password, quiero que tengas uno que en unos años te pidamos mejorar por inseguro" :P

    Citar »
  4. Me paso en el cajero, no podia poner nueva contraseña de 4 numeros.. y me dieron la lista de lo q no se puede, a lo que le tuve que decir "decime cual pongo porque son menos las que se pueden que las que no se pueden"

    Ninguna de las ultimas 10
    no puede contener fechas relacionadas con sus datos
    no puede ser numeros consecutivos ni descendentes
    no se pueden repetir numeros
    no puede empezar con 1
    y no se que mas, era imposible elegir una, entre 9999....

    Citar »
  5. Mirá justo justo justo hoy el Home Banking del Macro me pidió cambiar la clave y tenía estas restricciones:



    me parecieron absurdas las restricciones y como todo nerd a codear un poco --> Enlace

    6 Dígitos, un máximo de 1 millón de pass... pero no, con las primeras 3 restricciones ya elimino 211.270 posibles claves, mas del 21% de posibilidades, una locura.

    unos pe lo tu dos los nenes de sistema

    Citar »
  6. "Must have at least one symbol"
    Bueno, letras y números son símbolos ¡vayan a estudiar semiología, giles! :D

    Citar »
  7. hoy en dia lo mejor es usar un factor de 2do nivel, con un codigo que cambia de manera conocida en base a una semilla que es secreta

    yo lo uso para todo y es la mejor alternativa que tengo para evitar riesgos.

    igual no pongo claves en pc publicas y no uso wifi gratuitos

    Citar »
  8. Hace unos años, se hizo un estudio de más de 10000 passwd de 4 dígitos de cajeros y la mayor parte de las claves eran fechas, así que los números de empezaban del 1 al 31 (meses) y del 1 al 12 (días) eran más del 50% de las claves utilizadas, salvo por 1234, que se llevaba la parte del león.....

    Citar »
  9. Carlos+F. dijo:
    Hace unos años, se hizo un estudio de más de 10000 passwd de 4 dígitos de cajeros y la mayor parte de las claves eran fechas, así que los números de empezaban del 1 al 31 (meses) y del 1 al 12 (días) eran más del 50% de las claves utilizadas, salvo por 1234, que se llevaba la parte del león.....

    Acá lo encontré, era más sosfisticado el estudio de lo que yo recordaba http://www.datagenetics.com/blog/september32012/

    Citar »
  10. tucho235 dijo:
    Mirá justo justo justo hoy el Home Banking del Macro me pidió cambiar la clave y tenía estas restricciones:



    me parecieron absurdas las restricciones y como todo nerd a codear un poco --> Enlace

    6 Dígitos, un máximo de 1 millón de pass... pero no, con las primeras 3 restricciones ya elimino 211.270 posibles claves, mas del 21% de posibilidades, una locura.

    unos pe lo tu dos los nenes de sistema

    Misma situación me pasó con el Patagonia. Hice un script para que me genere las claves que ELLOS querían. Usé la primera y por alguna ignota razón me pidió cambiarla al toque. Puse la segunda, me dio error y nunca más pude reactivar la cuenta del cajero ni del home banking, aun después de llamar y hasta hacer que personal del banco reseteara la cuenta enfrente mio. Me fui y nunca más toqué un cajero automático, como me depositaban el sueldo ahí, una vez al mes pasaba por ventanilla y me llevaba todo mi dinero.

    Lo único que logran estos sistemas es que tengas anotada la clave de manera que con un poco de ingeniería social se la des alegremente.

    Citar »
  11. Y lo peor no es todas las restricciones... sino que las restricciones varían entre una página y otra haciendo que incluso se contrapongan. Ej: en un lugar tiene que contener caracteres especiales, en otro lugar no puede contener caracteres especiales... en una lugar tiene que ser de exactamente 6 caracteres, en otro lugar de al menos 8... Cómo carancho se hace para no anotar todas tus contraseñas cuanto tenés fácil 8 contraseñas distintas por toda la red !!! ...y algunas las tenés que ir variando periodicamente!!!
    esh imposhible... no she pueeedee....

    Citar »
  12. El problema es cuando todas esas reglas se empiezan a multiplicar por 10 o 20 o mas passwords que uno tiene que manejar en el dia a dia, que el gmail, foros varios, que la compu del laburo, la de casa, el banelco, el homebanking, una tercera para operar con la banelco en el mostrador del banco (??? casi los mando a cagar, flaco quiero que me des guita en persona y me haces sacar una tercera clave? Sos o te haces??? Como mierda podes imaginarte que me voy a acordar de una tercera clave para usar una misma tarjeta? Sos pelotudo vós? Tengo mil cosas mas importantes que acordarme que cuatro putos numeritos por tres que prentedes que memorize, que encima tienen sus reglas pelotudas para elegirlos), el wifi del laburo, el wifi de casa, el wifi del clu..... Se van todos a la concha de su madre y uno termina podrido usando una muy parecida para todos, o guardando todas en la cache del Chrome o el celular (y por ende olvidandoselas todas de nuevo).

    Listo, ya está, inventen otra cosa por favor, no quiero tipear mas passwords. Escaneenme el iris, besemne la chota, lo que sea pero inventen algo por favor.

    Citar »
  13. Donde trabajo te obligan a cambiar la contraseña de usuario de red todos los meses y te da tres intentos antes de bloquearse.
    Que sucedió? que todos terminan por usar nombre_de_usuarioMMAA (MM mes AA año) por lo que es facil adivinar la contraseña de todos, a lo sumo cambian AA por AAAA pero tenes tres intentos.

    Citar »
  14. Muchachos, para eso esta KeePass que podes tener una sola clave, y relacionarla con una imagen x para guardar todos los passwords.

    Citar »
  15. Alejandro Hernan Perez dijo:
    Muchachos, para eso esta KeePass que podes tener una sola clave, y relacionarla con una imagen x para guardar todos los passwords.

    claro, para que cuando hackeen keepass obtengan todas tus contraseñas.

    Citar »
  16. tucho235 dijo:
    Alejandro Hernan Perez dijo:
    Muchachos, para eso esta KeePass que podes tener una sola clave, y relacionarla con una imagen x para guardar todos los passwords.

    claro, para que cuando hackeen keepass obtengan todas tus contraseñas.


    Keepass es un programa que te bajas a tu pc / mobile. Tenes la Master password y despues cada entrada puede tener su password que vos quieras. No importa si hackean keepass, por que esta el contenido local.

    http://www.keepass.com/ miralo.

    Citar »
  17. Alejandro Hernan Perez dijo:
    tucho235 dijo:
    Alejandro Hernan Perez dijo:
    Muchachos, para eso esta KeePass que podes tener una sola clave, y relacionarla con una imagen x para guardar todos los passwords.

    claro, para que cuando hackeen keepass obtengan todas tus contraseñas.


    Keepass es un programa que te bajas a tu pc / mobile. Tenes la Master password y despues cada entrada puede tener su password que vos quieras. No importa si hackean keepass, por que esta el contenido local.

    http://www.keepass.com/ miralo.



    También sirven Lastpass o 1Password, aunque sólo he usado la primera. Keepass lo usé hace años. Funcionan también con clave maestra y tienen ingreso con 2 pasos. Cada vez uso más gestores


    Por otro lado, recuerdo un storify que publicó Smaldone sobre un test de seguridad a páginas de logueo de bancos argentos y la mayoría rsultaba con muy mala calificación

    Citar »
  18. Cun7d3sTr@yeR43vErAF

    Citar »
  19. La semana pasada me lleve una sorpresa. Actualice la pasword de Linkedin (simplemente porque me la olvide) y al ingresar la nueva me la rebotó porque "la contraseña ingresada figura en el listado de contraseñas robadas"
    Casualmente a mi también me afanaron la cuenta de Nerflix que usaba la misma pass

    Citar »
  20. Lo único que logran con todo esto es que los usuarios terminemos anotando la password, lo cual es lo más contra la seguridad que podemos hacer. PERO NO QUEDA OTRA. Es imposible recordarla.

    No entiendo por qué limitan el largo máximo de la password. Hay algunos bancos que exigen mínimo y máximo 8 caracteres. Y ahora está de moda pedir una clave numérica de 4 dígitos y un "nombre de usuario" (que es otra password) de 8 caracteres con reglas de contraseña.

    A veces tengo que operar con una cuenta de banca empresa y para hacer un pago tengo que hacer lo siguiente:
    1. Loguearme poniendo cuit de la empresa, clave de 4 dígitos, nombre de usuario de 8 caracteres.
    2. Hacer la operación, firmarla con mi cuit personal, otra clave de 4 dígitos y otro nombre de usuario de 8 caracteres
    3. Abrir una aplicación privativa que almacena mi certificado digital. Escribir la contraseña (otra más) con la que está almacenada la clave privada, y firmar digitalmente un texto que resume la operación. La intención de la aplicación es impedir extraer el certificado, así que solo puedo operar en una única PC, y sólo funciona con Internet Explorer.

    ¿Cómo hago para acordarme 5 passwords distintas que cambian cada mes y con reglas tan complicadas y sólo para una cuenta?

    Citar »
  21. Conozco una empresa que tiene las claves en un txt en el dropbox llamado contraseñas. A ese nivel llega el tema de las contraseñas.

    Citar »
  22. Gracias Fabito por levantar la voz de los que padecemos estas imbecilidades.

    Citar »
  23. Son los burócratas de sistemas.
    cada profesión tiene los suyos.

    En el laburo, el fucking SAP me obliga a cambiarla cada 45 días. Pero tiene mas vueltas que la calesita.
    No podés repetir las ULTIMAS 30 CLAVES!, tiene que tener numeros, mas de 8 caracteres, una mayuscula, no letras consecutivas, distinto de tu usuario, y un par mas.
    Cada vez que se vence es una pesadiila que terminó en coleccionar con paciencia mas de 30 claves en un papelito y usarlas en un ciclo sin fin hasta que aumenten el historail de nuevo.

    Citar »

Deje su comentario:

(comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador sin previo aviso)

Security Image

Negrita Cursiva Imagen Enlace

Guardar los datos: Si / No